Forgotten password(内存取证练习)

第一步:查看镜像信息

vol.py -f '/root/桌面/raw' imageinfo --查看镜像信息

img

第二步:Filescan直接找flag关键字

命令

vol.py -f '/root/桌面/raw' --profile=Win7SP1x86_23418 filescan |grep 'flag'

img

第三步:dumpfiles导出压缩包

命令

vol.py -f '/root/桌面/raw' --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001ea5e760 -D ./

img

发现压缩包需要解压密码(默认导出来是dat后缀,要改一下后缀)

img

第四步:继续使用filescan查找pwd关键字(一般找密码就可以)

搜“pass”、“password”、“passwd”、“pwd”,这里pwd是正确答案)

命令

vol.py -f '/root/桌面/raw' --profile=Win7SP1x86_23418 filescan |grep 'pwd'

img

一样的方法dump出来

命令

vol.py -f '/root/桌面/raw' --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001dad4848 -D ./

img

打开看到密码

img

得到flag

img

posted @ 2024-06-06 23:43  海鸥先生  阅读(129)  评论(0编辑  收藏  举报