【図表】
【コマンド】
■イメージの域別
| コマンド |
備考 |
|---|---|
| imageinfo | ハイレベルなサマリーの取得 |
| kdbgscan | 正確なイメージスキャン |
| kpcrscan | 潜在的なKPCR構造をスキャン |
■プロセスとDLL
| コマンド |
備考 |
|---|---|
| pslist | プロセスの一覧 |
| pstree | プロセスの一覧(ツリー形式) |
| psscan | プロセスの列挙(_POOL_HEADERをスキャン。非アクティブなプロセス、ルートキットに隠蔽されたプロセスも表示) |
| psdispscan | プロセスの列挙(DISPATCHER_HEADERをスキャン) |
| dlllist | DLLを表示 |
| dlldump | DLLを抽出し、ディスクにダンプ |
| handles | プロセスのオープン・ハンドルの表示 |
| getsids | プロセスに関連するSIDの表示 |
| cmdscan | cmd.exe から入力したコマンドを検出 (COMMAND_HISTORYをスキャン) |
| consoles | cmd.exe から入力したコマンドを検出 (CONSOLE_INFORMATIONをスキャン) |
| privs | 特権が、存在・有効・デフォルトで有効なプロセスを表示 |
| envars | プロセスの環境変数を表示 |
| verinfo | PEファイルに埋め込まれたバージョン情報を表示 |
| enumfunc | インポートおよびエクスポートされた関数を列挙 |
■プロセスメモリ
| コマンド |
備考 |
|---|---|
| memmap | どのページがメモリ常駐しているかを正確に表示 |
| memdump | |
| procdump | |
| vadinfo | |
| vadwalk | |
| vadtree | |
| vaddump | |
| evtlogs | |
| iehistory |
■カーネルメモリとオブジェクト
| コマンド |
備考 |
|---|---|
| modules | |
| modscan | |
| moddump | |
| ssdt | |
| driverscan | |
| filescan | |
| mutantscan | |
| symlinkscan | |
| thrdscan | |
| dumpfiles | |
| unloadedmodules |
■ネットワーキング
| コマンド |
備考 |
|---|---|
| connections | |
| connscan | |
| sockets | |
| sockscan | |
| netscan |
■レジストリ
| コマンド |
備考 |
|---|---|
| hivescan | |
| hivelist | |
| printkey | |
| hivedump | |
| hashdump | |
| lsadump | |
| userassist | |
| shellbags | |
| shimcache | |
| getservicesids | |
| dumpregistry |
■クラッシュダンプ、ハイバネーション、コンバージョン
| コマンド |
備考 |
|---|---|
| crashinfo | |
| hibinfo | |
| imagecopy | |
| raw2dmp | |
| vboxinfo | |
| vmwareinfo | |
| hpakinfo | |
| hpakextract |
■ファイルシステム
| コマンド |
備考 |
|---|---|
| mbrparser | |
| mftparser |
■その他
| コマンド |
備考 |
|---|---|
| strings | |
| volshell | |
| bioskbd | |
| patcher | |
| pagecheck | |
| timeliner |
