https://blog.csdn.net/chanyi0040/article/details/100956582
表格 1 Volatility支持的插件列表
| 插件名稱 | 功能 |
| amcache | 查看AmCache應用程序痕跡信息 |
| apihooks | 檢測內核及進程的內存空間中的API hook |
| atoms | 列出會話及窗口站atom表 |
| atomscan | Atom表的池掃描(Pool scanner) |
| auditpol | 列出注冊表HKLM\SECURITY\Policy\PolAdtEv的審計策略信息 |
| bigpools | 使用BigPagePoolScanner轉儲大分頁池(big page pools) |
| bioskbd | 從實時模式內存中讀取鍵盤緩沖數據(早期電腦可以讀取出BIOS開機密碼) |
| cachedump | 獲取內存中緩存的域帳號的密碼哈希 |
| callbacks | 打印全系統通知例程 |
| clipboard | 提取Windows剪貼板中的內容 |
| cmdline | 顯示進程命令行參數 |
| cmdscan | 提取執行的命令行歷史記錄(掃描_COMMAND_HISTORY信息) |
| connections | 打印系統打開的網絡連接(僅支持Windows XP 和2003) |
| connscan | 打印TCP連接信息 |
| consoles | 提取執行的命令行歷史記錄(掃描_CONSOLE_INFORMATION信息) |
| crashinfo | 提取崩潰轉儲信息 |
| deskscan | tagDESKTOP池掃描(Poolscaner) |
| devicetree | 顯示設備樹信息 |
| dlldump | 從進程地址空間轉儲動態鏈接庫 |
| dlllist | 打印每個進程加載的動態鏈接庫列表 |
| driverirp | IRP hook驅動檢測 |
| drivermodule | 關聯驅動對象至內核模塊 |
| driverscan | 驅動對象池掃描 |
| dumpcerts | 提取RAS私鑰及SSL公鑰 |
| dumpfiles | 提取內存中映射或緩存的文件 |
| dumpregistry | 轉儲內存中注冊表信息至磁盤 |
| editbox | 查看Edit編輯控件信息 (Listbox正在實驗中) |
| envars | 顯示進程的環境變量 |
| eventhooks | 打印Windows事件hook詳細信息 |
| evtlogs | 提取Windows事件日志(僅支持XP/2003) |
| filescan | 提取文件對象(file objects)池信息 |
| gahti | 轉儲用戶句柄(handle)類型信息 |
| gditimers | 打印已安裝的GDI計時器(timers)及回調(callbacks) |
| gdt | 顯示全局描述符表(Global Descriptor Table) |
| getservicesids | 獲取注冊表中的服務名稱並返回SID信息 |
| getsids | 打印每個進程的SID信息 |
| handles | 打印每個進程打開的句柄的列表 |
| hashdump | 轉儲內存中的Windows帳戶密碼哈希(LM/NTLM) |
| hibinfo | 轉儲休眠文件信息 |
| hivedump | 打印注冊表配置單元信息 |
| hivelist | 打印注冊表配置單元列表 |
| hivescan | 注冊表配置單元池掃描 |
| hpakextract | 從HPAK文件(Fast Dump格式)提取物理內存數據 |
| hpakinfo | 查看HPAK文件屬性及相關信息 |
| idt | 顯示中斷描述符表(Interrupt Descriptor Table) |
| iehistory | 重建IE緩存及訪問歷史記錄 |
| imagecopy | 將物理地址空間導出原生DD鏡像文件 |
| imageinfo | 查看/識別鏡像信息 |
| impscan | 掃描對導入函數的調用 |
| joblinks | 打印進程任務鏈接信息 |
| kdbgscan | 搜索和轉儲潛在KDBG值 |
| kpcrscan | 搜索和轉儲潛在KPCR值 |
| ldrmodules | 檢測未鏈接的動態鏈接DLL |
| lsadump | 從注冊表中提取LSA密鑰信息(已解密) |
| machoinfo | 轉儲Mach-O 文件格式信息 |
| malfind | 查找隱藏的和插入的代碼 |
| mbrparser | 掃描並解析潛在的主引導記錄(MBR) |
| memdump | 轉儲進程的可尋址內存 |
| memmap | 打印內存映射 |
| messagehooks | 桌面和窗口消息鈎子的線程列表 |
| mftparser | 掃描並解析潛在的MFT條目 |
| moddump | 轉儲內核驅動程序到可執行文件的示例 |
| modscan | 內核模塊池掃描 |
| modules | 打印加載模塊的列表 |
| multiscan | 批量掃描各種對象 |
| mutantscan | 對互斥對象池掃描 |
| notepad | 查看記事本當前顯示的文本 |
| objtypescan | 掃描窗口對象類型對象 |
| patcher | 基於頁面掃描的補丁程序內存 |
| poolpeek | 可配置的池掃描器插件 |
| printkey | 打印注冊表項及其子項和值 |
| privs | 顯示進程權限 |
| procdump | 進程轉儲到一個可執行文件示例 |
| pslist | 按照EPROCESS列表打印所有正在運行的進程 |
| psscan | 進程對象池掃描 |
| pstree | 以樹型方式打印進程列表 |
| psxview | 查找帶有隱藏進程的所有進程列表 |
| qemuinfo | 轉儲Qemu 信息 |
| raw2dmp | 將物理內存原生數據轉換為windbg崩潰轉儲格式 |
| screenshot | 基於GDI Windows的虛擬屏幕截圖保存 |
| servicediff | Windows服務列表(ala Plugx) |
| sessions | _MM_SESSION_SPACE的詳細信息列表(用戶登錄會話) |
| shellbags | 打印Shellbags信息 |
| shimcache | 解析應用程序兼容性Shim緩存注冊表項 |
| shutdowntime | 從內存中的注冊表信息獲取機器關機時間 |
| sockets | 打印已打開套接字列表 |
| sockscan | TCP套接字對象池掃描 |
| ssdt | 顯示SSDT條目 |
| strings | 物理到虛擬地址的偏移匹配(需要一些時間,帶詳細信息) |
| svcscan | Windows服務列表掃描 |
| symlinkscan | 符號鏈接對象池掃描 |
| thrdscan | 線程對象池掃描 |
| threads | 調查_ETHREAD 和_KTHREADs |
| timeliner | 創建內存中的各種痕跡信息的時間線 |
| timers | 打印內核計時器及關聯模塊的DPC |
| truecryptmaster | 恢復TrueCrypt 7.1a主密鑰 |
| truecryptpassphrase | 查找並提取TrueCrypt密碼 |
| truecryptsummary | TrueCrypt摘要信息 |
| unloadedmodules | 打印卸載的模塊信息列表 |
| userassist | 打印注冊表中UserAssist相關信息 |
| userhandles | 轉儲用戶句柄表 |
| vaddump | 轉儲VAD數據為文件 |
| vadinfo | 轉儲VAD信息 |
| vadtree | 以樹形方式顯示VAD樹信息 |
| vadwalk | 顯示遍歷VAD樹 |
| vboxinfo | 轉儲Virtualbox信息(虛擬機) |
| verinfo | 打印PE鏡像中的版本信息 |
| vmwareinfo | 轉儲VMware VMSS/VMSN 信息 |
| volshell | 內存鏡像中的shell |
| windows | 打印桌面窗口(詳細信息) |
| wintree | Z順序打印桌面窗口樹 |
| wndscan | 池掃描窗口站 |
| yarascan | 以Yara簽名掃描進程或內核內存 |
注冊表查看usb記錄
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR