Instalacja:
apt-get install pipx pipx install volatility3 pipx ensurepath
Po instalacji należy wylogować się z konta root i zalogować ponownie.
Lista aplikacji zainstalowanych przez pipx i usunięcie volatility3:
pipx list pipx uninstall volatility3
Wyświetlenie informacji o obrazie pamięci RAM:
vol -f plikObrazRAM windows.info
Lista uruchomionych procesów:
vol -f plikObrazRAM windows.pslist
Wyszukiwanie procesów ukrytych:
vol -f plikObrazRAM windows.psscan
Drzewo procesów:
vol -f plikObrazRAM windows.pstree
Parametry uruchomienia procesów:
vol -f plikObrazRAM windows.cmdline
Lista załadowanych bibliotek DLL:
vol -f plikObrazRAM windows.dlllist
Aktywne i zakończone połączenia sieciowe:
vol -f plikObrazRAM windows.netscan
Zrzut pamięci wybranego procesu:
vol -f plikObrazRAM windows.memmap --pid PID --dump
Wykrywanie podejrzanych fragmentów kodu:
vol -f plikObrazRAM windows.malfind
Wyświetlenie uchwytów systemowych:
vol -f plikObrazRAM windows.handles
Lista usług systemowych:
vol -f plikObrazRAM windows.svcscan
Informacje o modułach jądra systemu:
vol -f plikObrazRAM windows.modules
Historia konsoli CMD:
vol -f plikObrazRAM windows.consoles
Wyświetlenie dostępnych wtyczek:
vol -h