volatility内存取证

Posted 2021-01-30 rainbowcloud

最近参加了45届世界技能大赛的山东选拔赛，样题里有一个题如下：

师傅好不容易拿到了压缩包的密码，刚准备输入，电脑蓝屏 了。。。

= ="，题意简单明了，易于理解。一看就是内存取证的题并且已经有了内存转储文件了。

废话不多说，拿到hint就开始动手吧，先把文件下载下来，发现是一个7z的压缩包，放进kali解压

解压以后得到一个flag，看样子这个就是内存转储文件了，直接用volatility分析一下

volatility -f flag imageinfo

系统信息为WinXPSP2x86

获得系统信息就开始查师傅的压缩包密码，题意说刚准备输入，说明这个passwd当前已经打开过了，或者已经在剪切板里存放

先看一下剪切板中有没有数据

volatility -f flag --profile=WinXPSP2x86 clipboard

结果得到了一串数据，分析以后发现有一条数据疑似passwd，copy下来

现在有了密码，但是没有压缩文件，再查一下内存中缓存的文件

volatility -f flag --profile=WinXPSP2x86 filescan

直接被数据刷屏了= =

过滤一下

volatility -f flag --profile=WinXPSP2x86 filescan | grep rar

得到了flag.rar

进行解压缩，输入密码，得到flag

sg