步骤
方法一:AXIOM+volatility3
1.在WEB相关中找到10字短剧和bilibiliBV号。
2.在标识符-人员中找到用户h,再结合qq的安装路径可知:c:\Users\h\Documents\Tencent Files
3.vol3文件扫描
bash
vol3 -f 20241029-055419.dmp windows.filescan | wsl grep "Tencent"
方法二:memprocfs
1.加载完成后打开forensic\csv\timeline_web.csv,在其中可以找到符合10字的短剧和BV号
2.在timeline_nefs中找到qq号
或者根据方法一所说qq路径,打开forensic\files\ROOT\User\h\Documents\Tencent Files,发现qq号。
方法三:Strings
bash
strings 20241029-055419.dmp | grep "Tencent"
bash
strings 20241029-055419.dmp | grep "https://w
ww.bilibili.com/"
bash
strings 20241029-055419.dmp | grep "https://"找到和短剧相关的,但是这个超过了10个字。但是在这里知道了短剧网站nhsyy,进一步精确搜索。
bash
strings 20241029-055419.dmp | grep "https://www.nhsyy.com/"找到10字短剧-穿成魔尊后我一心求死。
方法四:LovelyMemLite
找到qq号。
找到BV号。
同样在web找到短剧。
