2024年全国职业技能大赛“信息安全与评估”赛项】任务3-Windows内存取证

                <p>这是在群里看见的一个题目，感觉挺有价值的，学习一下,下面是题目，这次用的工具是Tokeii师傅的Lovelymem工具</p> 

1.请提交内存中恶意进程的名称（pslist）

首先将内存挂载起来，查看所有的内存，这里可以看到有一个powershe11进程，将l改成了1，明显是一个恶意程序为了不被发现改的名字

2、请提交恶意进程写入的文件名称（不含路径）(memdump)

跟进这个恶意程序,dump下来后就直接搜索一下字符串，建议用string找，但是这个就更直观的找一下，这里就可以很清楚得到写入到了这个txt文件里

3.请提交admin账户的登录密码（hashdump）

这里直接mimikatz功能，得到admin的密码

或者也可以提取出hash值，将admin对应的hash值用john爆破，也可以得到密码123456

4.请提交攻击者创建的账户名称

这里第一步可以先看看账户，有Tom,John,Price,harp四个可疑用户

第二步我们要找，按照常理来说攻击者创建的用户肯定是不想被电脑主⼈直接发现，那么他就会想办法隐藏，常用的就是$ 的用户名，这个可以在注册表里找一下，因为这样的特殊账户是需要在注册表中做特殊配置的，先打印注册表

打开导出的注册表，利用强搜索，找到了存在的Price用户，通过在注册表中的信息确定是Price用户，这里贴一个其他的做法

【2024年全国职业技能大赛“信息安全与评估”赛项】任务3-Windows内存取证解题思路+环境

5、请提交在桌面某文件中隐藏的flag信息，格式：flag{...}

在桌面找到一张jpg，拿出来看看

直接搜索也可以，这是工具作者本人的截图，直接默认搜索啥也不填就可以了