BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹吗
打开一个镜像文件
分析镜像,看一下文件的profile值,确定内存镜像的版本
volatility -f memory.img imageinfo
接下来搜索一下进程,看看出题人做了些什么操作
仔细看一眼时间,试试最后那个,时间最近的操作
因为是win2003,查看一下这个操作从cmd命令
volatility -f memory.img --profile=Win2003SP1x86 cmdscan
dump下来,pid是1992
binwalk查看一下,里面有很多的东西
foremost分离出来
png里面找到可疑的文件
扫描二维码
jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=
得到一串字符串,第二张图片提示了key和vi AES解密得到flag
flag{F0uNd_s0m3th1ng_1n_M3mory}