[OtterCTF 2018]General Info

查看镜像信息

vol.py -f /home/kali/volatility-master/OtterCTF.vmem imageinfo 

查看PC名

计算机的主机名不可以被直接读取（vol没有模块可以处理），但是注册表内储存了相关信息，那么便可以从注册表中读取到主机名

使用hivelist命令列出注册表

vol.py -f /home/kali/volatility-master/OtterCTF.vmem --profile=Win7SP1x64 hivelist

主机名会出储存在\REGISTRY\MACHINE\SYSTEM中的ControlSet001\Control\ComputerName\ComputerName条目中，直接读取

vol.py -f /home/kali/volatility-master/OtterCTF.vmem --profile Win7SP1x64 printkey -o 0xfffff8a000024010 -K "ControlSet001\Control\ComputerName\ComputerName"

PC名：WIN-LO6FAF3DTFE

查看IP地址

查看网络通讯连接信息（netscan）

vol.py -f /home/kali/volatility-master/OtterCTF.vmem --profile=Win7SP1x64 netscan

IP地址：192.168.202.131

得到flag：NSSCTF{WIN-LO6FAF3DTFE-192.168.202.131}