内存取证工具——volatility 常用命令
我是目录前言正文猜测镜像系统调出shell窗口列举进程将内存中的某个进程保存出来列举缓存在内存的注册表列出SAM表中的用户获取最后登录系统的用户获取内存中正运行的程序列举时间线查看开启的windows服务从内存中获取密码哈希扫描电脑中的文件导出列举的文件前言红帽杯里也做到过内存取证,取证的课又重温了一遍,于是就准备把常用命令记下来。正文猜测镜像系统volatility -f Memory.vmem imageinfo在支持的系统里可以看到知道系统后,之后的命令就都加上这一段即可–pro
