Skip to main content

Volatility3

OS INFORMATION

vol.py -f “/path/to/file” windows.info

PROCESS INFORMATION

vol.py -f “/path/to/file” windows.pslist
vol.py -f “/path/to/file” windows.psscan
vol.py -f “/path/to/file” windows.pstree

PROCDUMP

vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles --pid <PID>

MEMDUMP

vol.py -f “/path/to/file” -o “/path/to/dir” windows.memmap --dump ‑‑pid <PID>

HANDLES

vol.py -f “/path/to/file” windows.handles --pid <PID>

DLLS

vol.py -f “/path/to/file” windows.dlllist --pid <PID>

CMDLINE

vol.py -f “/path/to/file” windows.cmdline

NETWORK INFORMATION

vol.py -f “/path/to/file” windows.netscan
vol.py -f “/path/to/file” windows.netstat

REGISTRY

HIVELIST

vol.py -f “/path/to/file” windows.registry.hivescan
vol.py -f “/path/to/file” windows.registry.hivelist

PRINTKEY

vol.py -f “/path/to/file” windows.registry.printkey
vol.py -f “/path/to/file” windows.registry.printkey ‑‑key “Software\Microsoft\Windows\CurrentVersion” 

FILES

FILESCAN

vol.py -f “/path/to/file” windows.filescan

FILEDUMP

vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles
vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles --virtaddr <offset>
vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles --physaddr <offset>

MISCELLANEOUS

MALFIND

vol.py -f “/path/to/file” windows.malfind

YARASCAN

vol.py -f “/path/to/file” windows.vadyarascan yara-rules <string>
vol.py -f “/path/to/file” windows.vadyarascan --yara-file “/path/to/file.yar”
vol.py -f “/path/to/file” yarascan.yarascan --yara-file “/path/to/file.yar”