2022.6.28日报

2022.6.28日报

1. 内存取证题,flag.raw

写在前面:先下载volatility

一开始用Linux做,但是库的安装一直有问题,所以就先放弃了,以后再说吧

以下是用windows完成的解题步骤:

  1. 使用imageinfo插件来查找dump文件的profile值

  2. 根据mgg的提示,这道题很简单,所以就直接搜索带“flag”字样的文件

(划线的地方根据实际变化)

然后导出文件

导出的文件用记事本打开,得到flag:flag{helloho}

2. 内存取证题:flag2.raw

首先说明,这题没做出来,并求mgg的wp

我先用昨天那道题的方法做了一遍,然后看到:“hahaha我不在这里了拉”(好吧果然)

用hivelist命令查找system和sam

然后尝试了hashdump命令

但是导出txt文件里什么也没有

我也不知道“0a640404b5c386ab12092587fe19cd02”是不是密码,但是如果不是也不会了

然后用pslist命令找到一堆进程,其中有一个叫dumpit

然后把这个文件拿到kali里用strings分析了一下,尝试找flag

啥也没看出来

posted @ 2022-06-28 21:08  畅容  阅读(36)  评论(0)    收藏  举报