[CPPUCTF] Very_Easy_Baby_Forensic | 内存取证(非预期解)

附件链接

请首先阅览原解法:https://mp.weixin.qq.com/s/lyucQMjQTs4AwEc4EpYKPQ

以下解法仅使用了 volatility:

使用 imageinfo 插件获取内存文件基本信息,分析出是哪个操作系统

volatility -f windows.vmem imageinfo

[CPPUCTF] Very_Easy_Baby_Forensic | 内存取证(非预期解)

尝试使用 pslist 插件的输出中直接无法得到 calc.exe 的信息,由于 plist 列出的是进程信息,考虑是该进程已被销毁

原解法是人工 dump 注册表的方式提取出程序运行信息,这里使用另外一个 volatility 插件 userassist

但是使用 userassist 同样可以提取出进程信息,通过它找到了 Calculator.lnk (快捷方式)的最后执行时间

volatility -f windows.vmem --profile=Win7SP1x64 userassist

[CPPUCTF] Very_Easy_Baby_Forensic | 内存取证(非预期解)

同样地 Chrome 的运行次数也可以找出

[CPPUCTF] Very_Easy_Baby_Forensic | 内存取证(非预期解)

CPPUISA{21-07-2020_18:21:35_19}

上一篇:《Very Deep Convolutional Networks For Large-Scale Image Recognition》翻译


下一篇:《Very Deep Convolutional Networks For Large-Scale Image Recognition》翻译