记两次内存取证

一、flag藏在了某个文件中

• 获取镜像信息：

  volatility -f [镜像路径] imageinfo

可以确定Profile为Win7SP1x64

• 进行文件扫描：

  由于flag藏在某个文件中，于是我们进行filescan，并利用grep命令找到关于flag的文件

  volatility -f [镜像路径] --profile=Win7SP1x64 filescan | grep flag

  

• dump出这个文件：
  volatility -f [镜像路径] --profile=Win7SP1x64 dumpfiles -Q [文件地址] -D [保存路径]

• 读文件：

  用cat [文件路径]

成功获取flag

二、卑劣的手段

初音姐姐被绑架了！这是二次元世界警方获取到的服务器快照，快解救初音姐姐获得FLAG吧

与上题唯一不同的地方在filescan时grep一些可能存在flag的文件格式

然后grep -E "txt|png|jpg"

最后一行发现可疑的Chuyin.png

然后zsteg一把梭