（内存取证）46届世界技能大赛湖北省选拔赛

题目链接：https://pan.baidu.com/s/18TASKSNA9HVqCfUV5wJ7NA 提取码：n3wf

任务一  获取admin用户密码是多少 ？

Volatility -f 文件名 --profile=Win7SP1x64 lsadump

任务（二） 获ip和主机名是什么？

Volatility -f 文件名 --profile=Win7SP1x64 netscan

Volatility  -f 文件名 --profile=Win7SP1x64 hivelist

volatility -f worldskills3.vmem --profile=Win2008R2SP0x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName" 

//0xfffff8a000024010 SYSTEM的虚拟地址

任务（三）获取桌面上的 flag.txt中的文件内容是什么

volatility -f worldskills3.vmem --profile=Win7SP1x64 filescan | grep flag

volatility -f worldskills3.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f1b6c10 --dump-dir=./

任务（四） 服务器中存在一个挖矿病毒  矿池地址是

volatility -f worldskills3.vmem --profile=Win2008R2SP0x64 netscan

任务（五）恶意代码在系统中注册了服务 服务名是什么？

volatility -f test.vmem --profile=Win7SP1x64 svcscan

(注：使用svcscan插件命令可打印出当前目标机器注册服务信息)

任务（六） 获取恶意代码的进程名pid。

Loader.exe父进程创建svchost.exe子进程

flag{svchost.exe+2588; loader.exe+3036}

任务（七） 病毒在自我删除时 执行的命令是什么？（病毒进入系统后会删除原始文件，请获取文件删除时执行的命令）

标准命令行：cmd.exe /C @ping -n 15 127.0.0.1&del path/file> nul