内存取证-easy_mem_2

步骤

方法一:AXIOM+volatility3

1.在WEB相关中找到10字短剧和bilibiliBV号。

2.在标识符-人员中找到用户h,再结合qq的安装路径可知:c:\Users\h\Documents\Tencent Files

3.vol3文件扫描

bash 复制代码
vol3 -f 20241029-055419.dmp windows.filescan | wsl grep "Tencent"

方法二:memprocfs

1.加载完成后打开forensic\csv\timeline_web.csv,在其中可以找到符合10字的短剧和BV号

2.在timeline_nefs中找到qq号

或者根据方法一所说qq路径,打开forensic\files\ROOT\User\h\Documents\Tencent Files,发现qq号。

方法三:Strings

bash 复制代码
strings 20241029-055419.dmp | grep "Tencent"
bash 复制代码
strings 20241029-055419.dmp | grep "https://w
ww.bilibili.com/"
bash 复制代码
strings 20241029-055419.dmp | grep "https://"

找到和短剧相关的,但是这个超过了10个字。但是在这里知道了短剧网站nhsyy,进一步精确搜索。

bash 复制代码
strings 20241029-055419.dmp | grep "https://www.nhsyy.com/"

找到10字短剧-穿成魔尊后我一心求死。

方法四:LovelyMemLite

找到qq号。

找到BV号。

同样在web找到短剧。

flag:ctfshow{54297198_穿成魔尊后我一心求死_BV1ZU4y1G7AP}

相关推荐
其实防守也摸鱼12 小时前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队
liguojun202513 小时前
篮球馆自动计时收费系统:从规则配置到自动结算的全流程拆解
java·大数据·运维·人工智能·物联网·1024程序员节
学逆向的15 小时前
汇编——数据存储模式
开发语言·汇编·网络安全
阿米亚波18 小时前
【EVE-NG 实战】防火墙基础(VLAN · VRRP · NAT · ACL · 静态路由)
运维·网络·笔记·网络协议·计算机网络·网络安全·运维开发
txg66620 小时前
网络安全领域简报(2026年7月3日—10日)
安全·web安全·网络安全
Chengbei111 天前
SoloXSS:一款现代化的自托管 XSS平台
人工智能·安全·web安全·网络安全·自动化·xss·安全架构
2301_780303902 天前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
学逆向的2 天前
汇编——内存
开发语言·汇编·算法·网络安全
print_Hyon2 天前
【CTF-MISC-音频和视频】分析音频频谱,提取图片中的文件并尝试解码得到rar文件
ctf
print_Hyon2 天前
【CTF-MISC-盲水印】压缩包8字节反转+bkcarck破解压缩包+双图盲水印
ctf