一道内存取证的题目。
①查看镜像信息
这里volatility推测这个应该是Win7SP1x64的内存
②hashdump
③尝试用kali的john工具去破解密码
看起来是空密码
④查看进程
出现了notepad.exe进程,PID为2580
⑤提取进程
⑥搜索一下flag
可以看到关于flag的hint
⑦搜索一下图片
可以看到只有一张图片,提取之
⑧foremost分析提取出来的notepad.exe进程
⑨分析一下压缩文件
可以看到这两个压缩文件是一样的,所以只需要分析其中一个
发现是一个filesystem,分离出来挂载之
查看一下hint的内容
应该是一系列的坐标,直接上脚本转换,转换之后得到一个二维码
扫描之,得到一个信息
Here is the vigenere key: aeolus, but i deleted the encrypted message。
那么接下来用dickgenius挂载
可以看到
有个.swp文件,拖入winhex进行分析
这段就是密文,直接根据之前的密码,进行解密
flag到手