题目描述
链接:https://pan.baidu.com/s/1dC4reO8opHQ3yZ8PdtD_AQ
提取码:lzsa
解题过程:
1.下载文件1.raw,放到kali里。
2.volatility -f 1.raw imageinfo
2.尝试第一个profile类型,查看进程
volatility -f 1.raw pslist --profile=WinXPSP2x86
3.grep过滤flag关键字试试
volatility -f 1.raw --profile=WinXPSP2x86 filescan |grep flag
发现了线索
4.先把png图片提出来看看
volatility -f 1.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000001e65028 -D ./
5.查看图片
6.把那一圈字符串提取出来看看:
FDCB[8LDQ?ZLOO?FHUWDLQOB?VXFFHHG?LQ?ILJKWLQJ?WKH?HSLGHPLF]
这一串,开头是四个字符,还有中括号包着,明显是flag的格式,而且中间的多个问号盲猜是下划线,根据经验应该是ASCII码移位了。尝试“[”的ASCII码为91,“{”的ascii码为123,所以猜测所有字符ASCII码要加32,再次尝试问号的ASCII码为63,加32等于95,正好对应下划线,验证了猜想,所以把所有ASCII码加32。
手算太麻烦了,python三行代码解决
string = 'FDCB[8LDQ?ZLOO?FHUWDLQOB?VXFFHHG?LQ?ILJKWLQJ?WKH?HSLGHPLF]'
for i in string:
print(chr(ord(i) + 32), end='')
结果为:fdcb{Xldq_zloo_fhuwdlqob_vxffhhg_lq_iljkwlqj_wkh_hslghplf}
7.看上去不大对,根据经验凯撒解密一下试试
结果为:cazy{Uian_will_certainly_succeed_in_fighting_the_epidemic}
这就对了嘛(PS:第一个U应为X,行该是出题的时候误把B写成8了)
所以flag是cazy{Xian_will_certainly_succeed_in_fighting_the_epidemic}
西安一定会战胜疫情!加油!!!