内存取证三项
文件下载解压,有几个提示信息。
volatility直接梭。
查看镜像信息imageinfo。此命令用于查看镜像的大概系统,便于执行对应的命令。
查看执行过的cmd命令cmdscan。
本文详细介绍了在buuctf中进行内存取证的过程,通过Volatility工具分析镜像信息,发现小黑使用nc传输了一个zip文件,并在小白的记事本中留下16进制字符串。虽然初看是死胡同,但通过文件名的生日线索成功爆破zip密码,获取到真flag。
本文详细介绍了在buuctf中进行内存取证的过程,通过Volatility工具分析镜像信息,发现小黑使用nc传输了一个zip文件,并在小白的记事本中留下16进制字符串。虽然初看是死胡同,但通过文件名的生日线索成功爆破zip密码,获取到真flag。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
