volatilityの使い方
最初にimgのプロファイルを推定
> volatility -f imageinfo
調査用コマンドの例
> volatility -f --profile==Win7SP1x86 pslist
レジストリのhashdumpの使用
最初にhivelistコマンドでSYSTEMハイブ(-y)とSAMハイブ(-s)のオフセットを確認する
> volatility -f --profile==Win7SP1x86 hivelist
> volatility -f --profile==Win7SP1x86 hasdump -y 0xe1035d60 -s 0xe173eb68
…各ユーザのパスワードhashが表示される
-d オプションは結果出力先のパスを指定
よく使いそうなもの
pstree
connscan
cmdscan