下载完是一个压缩包
打开压缩包,是一个没有扩展名的文件
但是问题不大,题目"volatility"说明这应该是个内存取证题,丢到虚拟机用volatility查看信息
是WinXPSP2x86,然后查看进程信息
发现一个notepad.exe,这是记事本程序,进去查看一下有没有什么提示
提示在cmd里有点东西,又去看一下cmd
看到一个flag,欣喜若狂,拿去一交,欸嘿,错了,然后往下看,一个jpg??下面是nonono,说是png,联合题目说的“自拍”,那就去把png提出来看看
这里边只有一个一张png,那就好办了,把它导出来
既然flag藏在这图片,那就zsteg一把梭
发现一个zip压缩包,记住它的通道,把它导出来
打开压缩包,里面是一个txt文件,打开得到flag
flag
flag{Waw!_Y0u_D1d!_it_^_^}
PS:得到图片后也可以用stegsolve分离b0通道的数据,得到一个压缩包(注意要把后面的一大串"FF"去掉,否则压缩包打不开