Forgotten password(内存取证练习)

第一步：查看镜像信息

vol.py -f '/root/桌面/raw' imageinfo --查看镜像信息

第二步：Filescan直接找flag关键字

命令

vol.py -f '/root/桌面/raw' --profile=Win7SP1x86_23418 filescan |grep 'flag'

第三步：dumpfiles导出压缩包

命令

vol.py -f '/root/桌面/raw' --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001ea5e760 -D ./

发现压缩包需要解压密码(默认导出来是dat后缀，要改一下后缀)

第四步：继续使用filescan查找pwd关键字（一般找密码就可以）

搜“pass”、“password”、“passwd”、“pwd”,这里pwd是正确答案）

命令

vol.py -f '/root/桌面/raw' --profile=Win7SP1x86_23418 filescan |grep 'pwd'

一样的方法dump出来

命令

vol.py -f '/root/桌面/raw' --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001dad4848 -D ./

打开看到密码

得到flag