0%

Volatility内存取证学习-复盘红帽杯Advertising for Marriage

发表于 2019-11-14 更新于 2020-10-14 分类于 CTF比赛阅读次数：
本文字数： 458 阅读时长 ≈ 1 分钟

获取镜像信息

volatility -f <file> imageinfo

读取进程

volatility -f <file> --profile=WinXPSP2x86 psscan

读取指定进程内容

volatility -f 1.raw --profile=WinXPSP2x86 memdump -p 332 --dump-dir=./

volatility -f 1.raw --profile=WinXPSP2x86 notepad

提取出来的文件用gimp打开调整宽度直至出现图像
综合得到提示
```
b1cxneedmoneyandgirlfirend
```

搜索图片

volatility -f 1.raw --profile=WinXPSP2x86  filescan | grep -E 'jpg|png|jpeg|bmp|gif'

提取图片

volatility -f 1.raw --profile=WinXPSP2x86 dumpfiles -Q 0x000000000249ae78  -n --dump-dir=./

lsb解码、base64、维吉尼亚密码