Pull Request is always welcome.
It would be good to note that the platform that goes into the plugin option can be changed.
- ex. windows.info → linux.info
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” imageinfo | vol.py -f “/path/to/file” windows.info |
vol.py -f “/path/to/file” kdbgs |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile pslist | vol.py -f “/path/to/file” windows.pslist |
vol.py -f “/path/to/file” ‑‑profile psscan | vol.py -f “/path/to/file” windows.psscan |
vol.py -f “/path/to/file” ‑‑profile pstree | vol.py -f “/path/to/file” windows.pstree |
vol.py -f “/path/to/file” ‑‑profile psxview |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile procdump -p ‑‑dump-dir=“/path/to/dir” | vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles ‑‑pid |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile memdump -p ‑‑dump-dir=“/path/to/dir” | vol.py -f “/path/to/file” -o “/path/to/dir” windows.memmap ‑‑dump ‑‑pid |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile handles -p | vol.py -f “/path/to/file” windows.handles ‑‑pid |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile dlllist -p | vol.py -f “/path/to/file” windows.dlllist ‑‑pid |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile cmdline | vol.py -f “/path/to/file” windows.cmdline |
vol.py -f “/path/to/file” ‑‑profile cmdscan | |
vol.py -f “/path/to/file” ‑‑profile consoles |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile netscan | vol.py -f “/path/to/file” windows.netscan |
vol.py -f “/path/to/file” ‑‑profile netstat | vol.py -f “/path/to/file” windows.netstat |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile hivescan | |
vol.py -f “/path/to/file” windows.registry.hivescan |
| | vol.py -f “/path/to/file” ‑‑profile hivelist | vol.py -f “/path/to/file” windows.registry.hivelist |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile printkey | vol.py -f “/path/to/file” windows.registry.printkey |
vol.py -f “/path/to/file” ‑‑profile printkey -K “Software\Microsoft\Windows\CurrentVersion” | vol.py -f “/path/to/file” windows.registry.printkey ‑‑key “Software\Microsoft\Windows\CurrentVersion” |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile hivedump -o | - |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile filescan | vol.py -f “/path/to/file” windows.filescan |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile dumpfiles ‑‑dump-dir=“/path/to/dir” | vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles |
vol.py -f “/path/to/file” ‑‑profile dumpfiles ‑‑dump-dir=“/path/to/dir” -Q | vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles ‑‑virtaddr |
vol.py -f “/path/to/file” ‑‑profile dumpfiles ‑‑dump-dir=“/path/to/dir” -p | vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles ‑‑physaddr |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” ‑‑profile malfind | vol.py -f “/path/to/file” windows.malfind |
Volatility 2 | Volatility 3 |
---|---|
vol.py -f “/path/to/file” yarascan -y “/path/to/file.yar” | vol.py -f “/path/to/file” windows.vadyarascan ‑‑yara-rules |
vol.py -f “/path/to/file” windows.vadyarascan ‑‑yara-file “/path/to/file.yar” | |
vol.py -f “/path/to/file” yarascan.yarascan ‑‑yara-file “/path/to/file.yar” |