聊天
下载发现是vm的镜像,考取证,
直接用foremost分离出来,看到有一张图片有点东西,但很模糊
jpg格式,用volat给dump下来,查找发现有三张jpg
dump第一张就是了
python2 vol.py -f win7.vmem --profile=Win7SP1x64 dumpfiles -Q 0x0000000027e7a300 -D ./
得到个密码,继续在foremost分离出来的文件翻找,找到两个压缩包里面有flag.txt,用得到密码解压,成功了得到flag构成形式
qq号?what?找了很久,终于在查找压缩包的时候发现了像是qq
QQ查找的时候查不到,应该关闭了QQ号查找,终于在bugku官方群找到了
Xor值为00
故flag为
bugku{s1mple_D1gital_f0rens1cs_54297198_Xhelwer_00}