文章目录
内存取证
内存取证三项.txt
一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑也不管自己在电脑上留下的操作急忙离开电脑,故作淡定的说:“我就是随便看看”。1.小黑写的啥,据说是flag?
2.那么问题来了,小白的密码是啥?
3.小黑发送的机密文件里面到底是什么
查看imageinfo
volatility -f test.raw imageinfo
查看所有活动进程
volatility -f test.raw --profile WinXPSP2x86 pslist
查看下cmd.exe的使用情况
发现个压缩包,文件扫描出文件在内存的位置
volatility -f test.raw --profile WinXPSP2x86 filescan | grep P@ssW0rd_is_y0ur_bir7hd4y.zip
dump出文件在当前目录
volatility -f test.raw --profile WinXPSP2x86 dumpfiles -Q0x0000000002c61318 -D ./
修改为zip后缀
寻找压缩包密码
猜测压缩包密码
P@ssW0rd_is_y0ur_bir7hd4y.zip
根据压缩包的名字推测出压缩包密码可能是某个生日密码 按照格式来我的生日是2002年2月7日推测密码格式是
20020207进行8位数字密码进行爆破
得到flag
flag{Thi5_Is_s3cr3t!}