证取单简

Kyrie-Lrving 2024-10-26 15:02:29 21 0


入门级内存取证,先获取版本

volatility -f mem imageinfo

得到版本为Win7SP1x64,再看看进程

volatility -f mem --profile=Win7SP1x64 pslist

可以看到有cmd,notepad,explorer等可疑进程,于是分别使用参数cmdscan,editbox,iehistory查看

可以发现cmd里有一段重要信息,说的是出题人喜欢用一样的密码,包括开机密码,这里就可以用各种工具去获取密码,得到用户zysgmzb的密码:0xGame2022

又在editbox里发现一段密文,根据题目名,可以联想到需要倒过来解密,这是U2Fsd开头的加盐AES,很明显是用某网站解密,配合上面得到的密码即可解密

0xGame{F1rst_St3p_0f_Forens1cs}
分类:MISC
image
作者:Kyrie-Lrving

21

提交

0

收入

相关WriteUP

问题反馈