2022.6.28日报

2022.6.28日报

1. 内存取证题，flag.raw

写在前面：先下载volatility

一开始用Linux做，但是库的安装一直有问题，所以就先放弃了，以后再说吧

以下是用windows完成的解题步骤：

1. 使用imageinfo插件来查找dump文件的profile值
   

2. 根据mgg的提示，这道题很简单，所以就直接搜索带“flag”字样的文件

（划线的地方根据实际变化）

然后导出文件

导出的文件用记事本打开，得到flag：flag{helloho}

2. 内存取证题：flag2.raw

首先说明，这题没做出来，并求mgg的wp

我先用昨天那道题的方法做了一遍，然后看到：“hahaha我不在这里了拉”（好吧果然）

用hivelist命令查找system和sam

然后尝试了hashdump命令

但是导出txt文件里什么也没有

我也不知道“0a640404b5c386ab12092587fe19cd02”是不是密码，但是如果不是也不会了

然后用pslist命令找到一堆进程，其中有一个叫dumpit

然后把这个文件拿到kali里用strings分析了一下，尝试找flag

啥也没看出来