【図表】
【コマンド】
■イメージの域別
コマンド |
備考 |
---|---|
imageinfo | ハイレベルなサマリーの取得 |
kdbgscan | 正確なイメージスキャン |
kpcrscan | 潜在的なKPCR構造をスキャン |
■プロセスとDLL
コマンド |
備考 |
---|---|
pslist | プロセスの一覧 |
pstree | プロセスの一覧(ツリー形式) |
psscan | プロセスの列挙(_POOL_HEADERをスキャン。非アクティブなプロセス、ルートキットに隠蔽されたプロセスも表示) |
psdispscan | プロセスの列挙(DISPATCHER_HEADERをスキャン) |
dlllist | DLLを表示 |
dlldump | DLLを抽出し、ディスクにダンプ |
handles | プロセスのオープン・ハンドルの表示 |
getsids | プロセスに関連するSIDの表示 |
cmdscan | cmd.exe から入力したコマンドを検出 (COMMAND_HISTORYをスキャン) |
consoles | cmd.exe から入力したコマンドを検出 (CONSOLE_INFORMATIONをスキャン) |
privs | 特権が、存在・有効・デフォルトで有効なプロセスを表示 |
envars | プロセスの環境変数を表示 |
verinfo | PEファイルに埋め込まれたバージョン情報を表示 |
enumfunc | インポートおよびエクスポートされた関数を列挙 |
■プロセスメモリ
コマンド |
備考 |
---|---|
memmap | どのページがメモリ常駐しているかを正確に表示 |
memdump | |
procdump | |
vadinfo | |
vadwalk | |
vadtree | |
vaddump | |
evtlogs | |
iehistory |
■カーネルメモリとオブジェクト
コマンド |
備考 |
---|---|
modules | |
modscan | |
moddump | |
ssdt | |
driverscan | |
filescan | |
mutantscan | |
symlinkscan | |
thrdscan | |
dumpfiles | |
unloadedmodules |
■ネットワーキング
コマンド |
備考 |
---|---|
connections | |
connscan | |
sockets | |
sockscan | |
netscan |
■レジストリ
コマンド |
備考 |
---|---|
hivescan | |
hivelist | |
printkey | |
hivedump | |
hashdump | |
lsadump | |
userassist | |
shellbags | |
shimcache | |
getservicesids | |
dumpregistry |
■クラッシュダンプ、ハイバネーション、コンバージョン
コマンド |
備考 |
---|---|
crashinfo | |
hibinfo | |
imagecopy | |
raw2dmp | |
vboxinfo | |
vmwareinfo | |
hpakinfo | |
hpakextract |
■ファイルシステム
コマンド |
備考 |
---|---|
mbrparser | |
mftparser |
■その他
コマンド |
備考 |
---|---|
strings | |
volshell | |
bioskbd | |
patcher | |
pagecheck | |
timeliner |