2022.6.28日报
2022.6.28日报
1. 内存取证题,flag.raw
写在前面:先下载volatility
一开始用Linux做,但是库的安装一直有问题,所以就先放弃了,以后再说吧
以下是用windows完成的解题步骤:
-
使用imageinfo插件来查找dump文件的profile值
-
根据mgg的提示,这道题很简单,所以就直接搜索带“flag”字样的文件
(划线的地方根据实际变化)
然后导出文件
导出的文件用记事本打开,得到flag:flag{helloho}
2. 内存取证题:flag2.raw
首先说明,这题没做出来,并求mgg的wp
我先用昨天那道题的方法做了一遍,然后看到:“hahaha我不在这里了拉”(好吧果然)
用hivelist命令查找system和sam
然后尝试了hashdump命令
但是导出txt文件里什么也没有
我也不知道“0a640404b5c386ab12092587fe19cd02”是不是密码,但是如果不是也不会了
然后用pslist命令找到一堆进程,其中有一个叫dumpit
然后把这个文件拿到kali里用strings分析了一下,尝试找flag
啥也没看出来