首先学习基础用法

1.查看系统基本信息

vol.py -f 路径 imageinfo

 2.查看进程命令行

vol.py -f 路径 --profile=系统版本 cmdline

vol.py -f 路径 --profile=版本 cmdscan

 3.查看进程信息

vol.py -f 路径 --profile=系统 pslist

通过树的方式返回

vol.py -f 路径 --profile=系统 pstree

4.DLL列表 动态链接库的列表

这里的命令都可以通过 -p 指定 pid

vol.py -f 路径 --profile=系统 dlllist

 打印出动态链接库的具体信息

vol.py -f 路径 --profile=系统 ldrmodules

 打印出更具体的内容和十六进制的值

vol.py -f 路径 --profile=系统 malfind

 5.查看用户密码信息 开机密码

vol.py -f 路径 --profile=系统 hashdump

然后通过md5爆破即可

6.查看注册表信息

vol.py -f 路径 --profile=系统 printkey

 查看注册表的详细信息

vol.py -f 路径 --profile=系统 hivelist

查看某个地址的注册表信息

vol.py -f 路径 --profile=系统 hivedump -o 地址

 7.查看网络信息

vol.py -f 路径 --profile=系统 netscan

 8.查看服务的运行

vol.py -f 路径 --profile=系统 svcscan

9.查看环境变量

vol.py -f 路径 --profile=系统 envars

 10.进程缓存的文件

vol.py -f 路径 --profile=系统 filescan

11.提取出指定的进程

首先通过pslist

然后提取

vol.py -f 路径 --profile=系统 memdump -p 指定的pid   -D 输出的目录

 

12.提取文件

首先通过filescan

然后提取

vol.py -f 路径 --profile=系统 dumpfiles -Q 指定的偏移量  -D 输出的目录