摘要:
1、检查该内存镜像操作系统(服务号/32/64)、获取时间 volatility -f mem.vmem imageinfo 2、列出该内存的所有进程信息 volatility -f mem.vmem --profile=xx pslist 提取出进程的文件 volatility -f mem.vm 阅读全文
摘要:
Misc 方向 1.misc-forensics 首先用volatility2对内存镜像进行分析 然后用Win7SP1x64进一步分析镜像。 想到flag可能藏在文件中,于是对系统文件进行扫描 发现镜像缓存中出现可疑文件flag.zip,于是将其导出 将导出的file.None.0xfffffa80 阅读全文