命令格式:volatility -f 文件名 –profile=系统版本 命令
volatility -f win7.raw imageinfo ## 检测目标系统信息
volatility -f win7.raw –profile=Win7SP1x64 pslist ## 查看运行的进程信息
volatility -f win7.raw –profile=Win7SP1x64 svcscan ## 查看系统服务
volatility -f win7.raw –profile=Win7SP1x64 userassist ## 查看用户注册表
volatility -f win7.raw –profile=Win7SP1x64 memdump -Q 内存地址 -D 需要dump到的本机目录 ## 将镜像中的某样东西dump到本机中
volatility -f win7.raw –profile=Win7SP1x64 screenshot -D 需要dump到的本机目录 ## 获取粘贴板上的截图
volatility -f win7.raw –profile=Win7SP1x64 userassist ## 查看userassist键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等
