操作系统
vol -f victim.raw windows.info

SearchIndexer 的 PID 是什么
vol -f victim.raw windows.pslist.PsList | grep Search

用户最后访问的目录
vol -f victim.raw windows.registry.hivelist(注册表文件)
做不下去了

转 volatility2

volatility -f /dumps/victim.raw imageinfo
volatility -f /dumps/victim.raw --profile=Win7SP1x64 pslist
volatility -f /dumps/victim.raw --profile=Win7SP1x64 shellbags



扫端口
volatility -f /dumps/victim.raw --profile=Win7SP1x64 netscan

查找恶意进程
volatility -f /dumps/victim.raw --profile=Win7SP1x64 malfind

dump一下上面的恶意进程
volatility -f /dumps/victim.raw --profile=Win7SP1x64 -p 1860,1820,2464 memdump -D /dumps

提取有用数据
string *.dmp | grep "xxx"

查看环境变量
volatility -f /dumps/victim.raw --profile=Win7SP1x64 envars