Skip to content

Latest commit

 

History

History
139 lines (94 loc) · 4.9 KB

README.md

File metadata and controls

139 lines (94 loc) · 4.9 KB
Raw

Volatility-CheatSheet

Install

Volatility Volatility3

Contribute

Pull Request is always welcome.

Info

It would be good to note that the platform that goes into the plugin option can be changed.

  • ex. windows.info → linux.info

OS INFORMATION

IMAGEINFO

Volatility 2 Volatility 3
vol.py -f “/path/to/file” imageinfo vol.py -f “/path/to/file” windows.info
vol.py -f “/path/to/file” kdbgs

PROCESS INFORMATION

PSLIST

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile pslist vol.py -f “/path/to/file” windows.pslist
vol.py -f “/path/to/file” ‑‑profile psscan vol.py -f “/path/to/file” windows.psscan
vol.py -f “/path/to/file” ‑‑profile pstree vol.py -f “/path/to/file” windows.pstree
vol.py -f “/path/to/file” ‑‑profile psxview

PROCDUMP

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile procdump -p ‑‑dump-dir=“/path/to/dir” vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles ‑‑pid

MEMDUMP

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile memdump -p ‑‑dump-dir=“/path/to/dir” vol.py -f “/path/to/file” -o “/path/to/dir” windows.memmap ‑‑dump ‑‑pid

HANDLES

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile handles -p vol.py -f “/path/to/file” windows.handles ‑‑pid

DLLS

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile dlllist -p vol.py -f “/path/to/file” windows.dlllist ‑‑pid

CMDLINE

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile cmdline vol.py -f “/path/to/file” windows.cmdline
vol.py -f “/path/to/file” ‑‑profile cmdscan
vol.py -f “/path/to/file” ‑‑profile consoles

NETWORK INFORMATION

NETSCAN

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile netscan vol.py -f “/path/to/file” windows.netscan
vol.py -f “/path/to/file” ‑‑profile netstat vol.py -f “/path/to/file” windows.netstat

REGISTRY

HIVELIST

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile hivescan
vol.py -f “/path/to/file” windows.registry.hivescan

| | vol.py -f “/path/to/file” ‑‑profile hivelist | vol.py -f “/path/to/file” windows.registry.hivelist |

PRINTKEY

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile printkey vol.py -f “/path/to/file” windows.registry.printkey
vol.py -f “/path/to/file” ‑‑profile printkey -K “Software\Microsoft\Windows\CurrentVersion” vol.py -f “/path/to/file” windows.registry.printkey ‑‑key “Software\Microsoft\Windows\CurrentVersion”

HIVEDUMP

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile hivedump -o -

FILES

FILESCAN

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile filescan vol.py -f “/path/to/file” windows.filescan

FILEDUMP

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile dumpfiles ‑‑dump-dir=“/path/to/dir” vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles
vol.py -f “/path/to/file” ‑‑profile dumpfiles ‑‑dump-dir=“/path/to/dir” -Q vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles ‑‑virtaddr
vol.py -f “/path/to/file” ‑‑profile dumpfiles ‑‑dump-dir=“/path/to/dir” -p vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles ‑‑physaddr

MISCELLANEOUS

MALFIND

Volatility 2 Volatility 3
vol.py -f “/path/to/file” ‑‑profile malfind vol.py -f “/path/to/file” windows.malfind

YARASCAN

Volatility 2 Volatility 3
vol.py -f “/path/to/file” yarascan -y “/path/to/file.yar” vol.py -f “/path/to/file” windows.vadyarascan ‑‑yara-rules
vol.py -f “/path/to/file” windows.vadyarascan ‑‑yara-file “/path/to/file.yar”
vol.py -f “/path/to/file” yarascan.yarascan ‑‑yara-file “/path/to/file.yar”