最初にimgのプロファイルを推定
> volatility -f imageinfo

調査用コマンドの例
> volatility -f --profile==Win7SP1x86 pslist

レジストリのhashdumpの使用
最初にhivelistコマンドでSYSTEMハイブ（-y）とSAMハイブ（-s）のオフセットを確認する
> volatility -f --profile==Win7SP1x86 hivelist

> volatility -f --profile==Win7SP1x86 hasdump -y 0xe1035d60 -s 0xe173eb68
　　…各ユーザのパスワードhashが表示される

　-d オプションは結果出力先のパスを指定

よく使いそうなもの
pstree
connscan
cmdscan