BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗

题目来源：https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97

内存取证

题给了img文件

先看镜像信息

profile选Win2003SP0x86好像不对

应该是Win2003SP1x86

看一下cmd进程

DumpIt.exe

dump下来，foremost分离

两张图片

AES加密 在线AES加密解密

flag{F0uNd_s0m3th1ng_1n_M3mory}