摘要：一道内存取证的题目。 ①查看镜像信息 这里volatility推测这个应该是Win7SP1x64的内存 ②hashdump ③尝试用kali的john工具去破解密码 看起来是空密码 ④查看进程 出现了notepad.exe进程，PID为2580 ⑤提取进程 ⑥搜索一下flag 可以看到关于flag的 阅读全文

摘要：原帖地址：https://www.52pojie.cn/thread-1079259-1-1.html 0.使用volatility辨别dump下来的内存属于什么版本的什么操作系统（这里一般排列在第一个的是正确的） ⦁ 列出进程 这里可以看到有个cmd.exe⦁ 查看cmd历史记录 可以看到有个fl 阅读全文