查看内存镜像信息
发现系统版本为WinXPSP2x86
2. 获取进程信息
发现可疑文件smss.exe
3. 提取进程
提取可疑文件
--profile的参数为系统版本
-p的参数为进程ID
-D的参数为保存文件的路径
4. 查看dump
strings -e l 536.dmp | grep flag
-e的参数为编码方式,其中l为16-bit编码
发现两个可疑文件,flag.png flag.jpg
5. 获取浏览器浏览历史
发现hiint.txt
6. 扫描并提取文件
0x0000000002456028
使用dumpfiles提取文件
-Q的参数为 内存地址
--dump-dir的参数为导出文件的目录
使用HXD 或者WinHex 查看文件
保存出来命名flag.jpgh和flag.png
7. 图片分析Stegsolve需要Java环境
用Stegsolve打开其中一个文件,
打开其中一个文件,然后点击Analyse->Image Combiner打开另一张图片,点击>看到二维码最多的图WX扫一扫,发音就是Flag