题目链接。
链接:https://pan.baidu.com/s/1bytz9mF_IOBrXY_NYtIgNQ
--来自百度网盘超级会员V2的分享
一、查看系统版本
volatility -f mem.dump imageinfo
文件比较大,耐心等待。使用Win7SP1x64
二、 查看可疑进程
发现卷加密进程cncrypt.exe。 基本猜测其是最后加密了一下,因此下面我们需要找密码,然后需要将cncrypt.exe 操作的文件dump下来。
volatility -f mem.dump --profile=Win7SP1x64 pslist
三、dump file和查找密码
3.1 dump加密后的文件
volatility -f mem.dump --profile=Win7SP1x64 cmdscan
发现加密了一个flag.ccx文件,并且知道他的密码就是管理员账号的密码。