http://dd.zhaoj.in/3ehg38dgey84d3dhou32d3/mem.raw
得到的 flag 请包上 flag{} 提交。Hint:记事本
这是一道复现地很费劲的题😂
得到mem.raw和VOL(VOL对应后面链接失效的地方,按下不表)
内存取证起手式:
volatility -f mem.raw imageinfo
得到可能版本后
volatility -f mem.raw --profile=Win7SP1x86_23418 pslist
查看进程
关注
TrueCrypt.exe 3364
notepad.exe 3552
mspaint.exe 2648
分别dumpit
volatili