入门级内存取证，先获取版本

volatility -f mem imageinfo

得到版本为Win7SP1x64,再看看进程

volatility -f mem --profile=Win7SP1x64 pslist

可以看到有cmd，notepad，explorer等可疑进程，于是分别使用参数cmdscan，editbox，iehistory查看

可以发现cmd里有一段重要信息，说的是出题人喜欢用一样的密码，包括开机密码，这里就可以用各种工具去获取密码，得到用户zysgmzb的密码：0xGame2022

又在editbox里发现一段密文，根据题目名，可以联想到需要倒过来解密，这是U2Fsd开头的加盐AES，很明显是用某网站解密，配合上面得到的密码即可解密

0xGame{F1rst_St3p_0f_Forens1cs}