Somebody-内存取证

23 年 12 月 1 日 星期五
194 字
1 分钟

Somebody-内存取证



下载文件得到一个vmem后缀,用内存取证工具volatility-master打开

先使用python2 vol.py -f body.vmem imageinfo获得profile信息





根据提示,知道桌面放东西,然后使用 python2 vol.py -f body.vmem --profile=Win7SP1x64 filescan | grep "Desktop" 查找和桌面有关的东西





找到可以的flag.zip和anything.zip,直接使用python2 vol.py -f body.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fa7b9c0 -D ./ 指令提取,得到的flag.zip是没用的,而anything.zip文件是加密的,在winrar可以看到提示





根据提示查找这台机子的密码





根据提示:哈希即可,把这四个哈希密码放到zip尝试,最后一个哈希密码正确了。



文章标题:Somebody-内存取证

文章作者:huarui

文章链接:https://54huarui.online/posts/somebody[复制]

最后修改时间:

商业转载请联系站长获得授权,非商业转载请注明本文出处及文章链接,您可以自由地在任何媒体以任何形式复制和分发作品,也可以修改和创作,但是分发衍生作品时必须采用相同的许可协议。
本文采用CC BY-NC-SA 4.0进行许可。