1. Wyświetlenie listy profili systemów operacyjnych.
volatility --info |
2. Informacje o obrazie pamięci RAM, określenie profilu systemu operacyjnego.
volatility -f obraz_ram imageinfo |
3. Lista uruchomionych procesów.
volatility -f obraz_ram --profile=Win7SP1x64 pslist |
volatility -f obraz_ram --profile=Win7SP1x64 psscan |
4. Lista procesów w postaci drzewa.
volatility -f obraz_ram --profile=Win7SP1x64 pstree |
5. Lista załadowanych bibliotek DLL.
volatility -f obraz_ram --profile=Win7SP1x64 dlllist |
6. Lista poleceń cmd.
volatility -f obraz_ram --profile=Win7SP1x64 cmdline |
7. Lista adresów IP.
volatility -f obraz_ram --profile=Win7SP1x64 netscan |
8. Nazwy i hasła użytkowników (hash).
volatility -f obraz_ram --profile=Win7SP1x64 hashdump |
9. Położenie plików rejestru.
volatility -f obraz_ram --profile=Win7SP1x64 hivelist |
10. Zapis rejestru do folderu.
volatility -f obraz_ram --profile=Win7SP1x64 dumpregistry --dump-dir nazwa_folderu |
11. Zapis zrzutu ekranu z pamięci RAM do wskazanego folderu.
volatility -f obraz_ram --profile=Win7SP1x64 screenshot --dump-dir nazwa_folderu |
12. Wyświetlenie otwartych programów z editboxem.
volatility -f obraz_ram --profile=Win7SP1x64 editbox |
13. Wyświetlenie zawartości schowka (clipboard).
volatility -f obraz_ram --profile=Win7SP1x64 clipboard |
14. Wyświetlenie histori z programu Internet Explorer.
volatility -f obraz_ram --profile=Win7SP1x64 iehistory |
15. Shellbags.
volatility -f obraz_ram --profile=Win7SP1x64 shellbags |