Wichtige volatility Funktionen

Profil identifizieren

vol.py -f <<DumpDatei>> imageinfo

 

Profil benutzen

vol.py -f <<DumpDatei>> –profile=<<profilname>>

 

Prozesse

vol.py -f <<DumpDatei>> –profile=<<profilname>> pslist

vol.py -f <<DumpDatei>> –profile=<<profilname>> pstree

vol.py -f <<DumpDatei>> –profile=<<profilname>> procdump –dump-dir <<Verzeichnis>>

vol.py -f <<DumpDatei>> –profile=<<profilname>> procexedump -p <<PID>> -D <<Verzeichnis>>

vol.py -f <<DumpDatei>> –profile=<<profilname>> memdump -p <<PID>> -D <<Verzeichnis>>

 

Netzwerkverbindungen (Windows XP)

vol.py -f <<DumpDatei>> –profile=<<profilname>> connscan

vol.py -f <<DumpDatei>> –profile=<<profilname>> connections

 

Netzwerkverbindungen (ab Windows Vista)

vol.py -f <<DumpDatei>> –profile=<<profilname>> netscan

 

Liste ausgeführter Dateien

vol.py -f <<DumpDatei>> –profile=<<profilname>> cmdscan

 

Konsolenfenster

vol.py -f <<DumpDatei>> –profile=<<profilname>> consoles

 

Angeschlossene Geräte

vol.py -f <<DumpDatei>> –profile=<<profilname>> devicetree

 

Treiber

vol.py -f <<DumpDatei>> –profile=<<profilname>> driverscan

 

Dateien

vol.py -f <<DumpDatei>> –profile=<<profilname>> filescan

 

Passwort Hashes (LM / NTLM)

vol.py -f <<DumpDatei>> –profile=<<profilname>> hashdump

vol.py -f <<DumpDatei>> –profile=<<profilname>> hashdump -y 0xSYSTEM -s 0xSAM

 

Passwörter (benötigt Mimikatz)

vol.py -f <<DumpDatei>> –profile=<<profilname>> mimikatz

 

Truecrypt

vol.py -f <<DumpDatei>> –profile=<<profilname>> truecryptpassphrase

vol.py -f <<DumpDatei>> –profile=<<profilname>> truecryptsummary

vol.py -f <<DumpDatei>> –profile=<<profilname>> truecryptmaster

 

Windows Registry

vol.py -f <<DumpDatei>> –profile=<<profilname>> hivescan

vol.py -f <<DumpDatei>> –profile=<<profilname>> hivelist

vol.py -f <<DumpDatei>> –profile=<<profilname>> hivedump

vol.py -f <<DumpDatei>> –profile=<<profilname>> printkey

 

Windows Services

vol.py -f <<DumpDatei>> –profile=<<profilname>> svcscan

 

Textextraktion

vol.py -f <<DumpDatei>> –profile=<<profilname>> strings

 

Malware

vol.py -f <<DumpDatei>> –profile=<<profilname>> malfind -D <<Pfad zum Speichern>>

 

Leave a Reply