Vol2

系统相关

判断内存镜像内存信息

vol -f file imageinfo

或者

vol -f file kdbgscan

插件使用:

vol -f file –profile=xxx plugin

timeliner: 将所有操作系统事件以时间线的方式展开

shutdowntime: 最后一次关机时间

envars -p :查询指定进程的环境变量

进程相关

pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,

pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程

psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程

dlllist: 列出某一进程加载的所有dll文件

malfind: 用于寻找可能注入到各种进程中的恶意软件,也可以-p指定pid

netscan: 获取网络连接

memdump -p: 转存指定进程的内存

文件相关

filescan 扫描当前打开的文件

mftparser:解析MFT记录

mftparser –output-file=file -D output_file

敏感信息相关

cmdscan:可用于查看终端记录

clipboard:查看剪贴板信息

hashdump: 获取内存中的系统密码

mimikatz: 抓取明文密码

安装: https://blog.csdn.net/qq_22406677/article/details/134596477

userassist: 提取内存中记录的当时正在运行的程序,运行次数以及最后一次运行

truecryptmaster: 获取TrueCrypt密钥信息

truecryptpassphrase: 获取密码

iehistory:检索IE浏览器历史记录

shellbags: 追踪和维护Windows资源管理器中文件夹的访问历史

注册表相关

hivelist: 列出所有的注册表项及其虚拟地址和物理地址

getsids: 获取sid

printkey: 获取SAM表中的用户

printkey -K “SAM\Domains\Account\Users\Names”

Vol3

系统相关

info

获取系统信息

modules: 插件将转储已加载的内核模块列表

driverscan

进程相关

pslist

psscan

pstree

netscan

dlllist

malfind

敏感信息相关

hashdump

文件相关

filescan

dumpfiles –virtaddr 虚拟地址