admin 管理员组

文章数量: 887021

这题蛮鬼的,就,没有捷径,捷径导出文件一定是坏的

附件:mem.raw

[RoarCTF2019]forensic

1.volatility处理

λ volatility_2.6_win64_standalone.exe -f xxx7\Compressed\mem.raw imageinfo
Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (\Compressed\mem.raw)
                      PAE type : PAE
                           DTB : 0x185000L
                          KDBG : 0x81729be8L
          Number of Processors : 2
     Image Type (Service

本文标签: 内存 MISC CTF forensic

版权声明:本文标题:[ctf Misc][RoarCTF2019]forensic +内存取证 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1726377971h948325.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。