Volatility3
OS INFORMATION
vol.py -f “/path/to/file” windows.info
PROCESS INFORMATION
vol.py -f “/path/to/file” windows.pslist
vol.py -f “/path/to/file” windows.psscan
vol.py -f “/path/to/file” windows.pstree
PROCDUMP
vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles --pid <PID>
MEMDUMP
vol.py -f “/path/to/file” -o “/path/to/dir” windows.memmap --dump ‑‑pid <PID>
HANDLES
vol.py -f “/path/to/file” windows.handles --pid <PID>
DLLS
vol.py -f “/path/to/file” windows.dlllist --pid <PID>
CMDLINE
vol.py -f “/path/to/file” windows.cmdline
NETWORK INFORMATION
vol.py -f “/path/to/file” windows.netscan
vol.py -f “/path/to/file” windows.netstat
REGISTRY
HIVELIST
vol.py -f “/path/to/file” windows.registry.hivescan
vol.py -f “/path/to/file” windows.registry.hivelist
PRINTKEY
vol.py -f “/path/to/file” windows.registry.printkey
vol.py -f “/path/to/file” windows.registry.printkey ‑‑key “Software\Microsoft\Windows\CurrentVersion”
FILES
FILESCAN
vol.py -f “/path/to/file” windows.filescan
FILEDUMP
vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles
vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles --virtaddr <offset>
vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles --physaddr <offset>
MISCELLANEOUS
MALFIND
vol.py -f “/path/to/file” windows.malfind
YARASCAN
vol.py -f “/path/to/file” windows.vadyarascan yara-rules <string>
vol.py -f “/path/to/file” windows.vadyarascan --yara-file “/path/to/file.yar”
vol.py -f “/path/to/file” yarascan.yarascan --yara-file “/path/to/file.yar”