内存取证-证取单简

步骤

1.判断文件类型

file不能判断,但根据文件名mem猜测是内存镜像。

2.获取镜像信息

bash 复制代码
vol2 -f mem imageinfo

3.查看进程

bash 复制代码
vol2 -f mem --profile=Win7SP1x64 pslist

发现有notepad.exe,cmd.exe,explorer.exe等可疑进程,分析这几个可疑进程。

4.cmdscan

显示cmd历史命令

bash 复制代码
vol2 -f mem --profile=Win7SP1x64 cmdscan

发现提示:这个作者喜欢使用相同的密码,包括开机密码。所以这里尝试获取密码。

5.mimikatz

提取明文密码

bash 复制代码
vol2 -f mem --profile=Win7SP1x64 mimikatz

获取到密码0xGame2022

6.Editbox

查看编辑内容

bash 复制代码
vol2 -f mem --profile=Win7SP1x64 editbox

在这里发现一段编码。根据最后面几个字符反过来是U2Fsd(为AES加盐加密)和题目名字为倒置的猜测应该要倒置这段编码并解密,密码为上面得到的密码。

AES加密-AES解密-在线AES加密解密工具

flag:0xGame{F1rst_St3p_0f_Forens1cs}

相关推荐
Hiyajo pray2 小时前
属性sdn隐私保护分析
网络安全
Hiyajo pray3 小时前
属性sdn的隐私保护策略(1)
网络安全
HackTwoHub4 小时前
某单位 CMS 完整渗透链、SQL 注入→后台拿权→绕过宝塔 Waf 上线 shell
数据库·人工智能·sql·安全·网络安全·系统安全·安全架构
杭州默安科技5 小时前
从告警到多防火墙联动封禁:智能体与XDR的自动化响应实践
人工智能·网络安全
云栖梦泽在6 小时前
跨境电商账号频繁验证怎么办?从公网 IP、ASN、浏览器环境到登录稳定性排查
网络·网络协议·tcp/ip·网络安全·性能优化
磐时信息技术1 天前
GB 44495/44496正式施行:智能网联汽车信息安全与软件升级进入强制合规阶段
网络安全·信息安全·汽车·gb44495·gb44496
被克制了2 天前
安全协议设计与分析(2)
网络安全·密码学·安全协议
Chockmans2 天前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
四月天433 天前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
菩提小狗3 天前
每日安全情报报告 · 2026-07-04
网络安全·漏洞·cve·安全情报·每日安全