Volatility内存取证学习-复盘红帽杯Advertising for Marriage

获取镜像信息

volatility -f <file> imageinfo

img

读取进程

volatility -f <file> --profile=WinXPSP2x86 psscan

img

读取指定进程内容

volatility -f 1.raw --profile=WinXPSP2x86 memdump -p 332 --dump-dir=./
volatility -f 1.raw --profile=WinXPSP2x86 notepad

img

  • 提取出来的文件用gimp打开调整宽度直至出现图像

  • img

  • 综合得到提示

    b1cxneedmoneyandgirlfirend

搜索图片

volatility -f 1.raw --profile=WinXPSP2x86  filescan | grep -E 'jpg|png|jpeg|bmp|gif'

提取图片

volatility -f 1.raw --profile=WinXPSP2x86 dumpfiles -Q 0x000000000249ae78  -n --dump-dir=./

img

lsb解码、base64、维吉尼亚密码

img

img

本文总阅读量
× 文章目录
  1. 1. 获取镜像信息
  2. 2. 读取进程
  3. 3. 读取指定进程内容
  4. 4. 搜索图片
  5. 5. 提取图片
  6. 6. lsb解码、base64、维吉尼亚密码