工具:Volatility2
解压压缩包,放到Volatility2同目录下。
使用命令python2 vol.py -f image.vmem imageinfo识别镜像
可以看出来是server2003Windows操作系统
这里就用2003的Profile
题目提示关键词,初音未来,所以先看看进程、文件,有没有相关内容。
命令python2 vol.py -f image.vmem --profile=Win2003SP1x64 filescan | grep Chuyin
找到Chuyin.png
0x0000000002d44eb0
导出找到的PNG文件
python2 vol.py -f image.vmem --profile=Win2003SP1x64 dumpfiles -Q 0x0000000002d44eb0 -D /home/pangxie/Desktop
使用zsteg就分析了