最后更新于9个月前
kali 虚拟机
volatility
关于windows设备的相关硬件信息,可以在注册表中找到相关信息。
具体指令如下:
volatility -f xxx.raw imageinfo
获取注册表,所需信息在 \SystemRoot\System32\Config\SOFTWARE
volatility -f xxx.raw --profile=Win7SP1x64 hivelist
网卡信息的路径在
Microsoft\Windows NT\CurrentVersion\NetworkCards
可能会有多个子文件,对应多张网卡
$ volatility -f xxx,raw --profile=Win7SP1x64 -o 0xfffffa001b40010 printkey -K "Microsoft Windows NT CurrentVersion\NetworkCards\8