ez_mem&usb

用binwalk命令分离pcap，得到vmem镜像和2个zip(vmem镜像用volatility命令出问题了，搜了下，用mobaxterm上传也8行）
用wireshark打开pcap包,文件->导出http对象,保存最大的文件，在upload_file.php中发现PK，解压得到data.vmem
分析镜像：volatility -f data.vmem imageinfo
查看进程：volatility -f data.vmem --profile=WinXPSP2x86 pslist
查看cmd进程：volatility -f data.raw --profile=WinXPSP2x86 cmdscan

发现密码：

weak_auth_top100

dump 资源管理器进程：

volatility -f data.vmem --profile=WinXPSP2x86  memdump -p 1476 --dump-dir=./

对1476.dmp用binwalk和foremost命令，zip解压时出错
使用edibox插件：（我也不知道这是干啥的）

volatility editbox -f data.vmem  --profile=WinXPSP2x86

用filescan命令筛选Administrator文件：

volatility -f data.vmem --profile=WinXPSP2x86 filescan | grep "Administrator"

dump flag.img ：

volatility -f data.vmem --profile=WinXPSP2x86 dumpfiles -Q 0x0000000001155f90 --dump-dir=./

得到file.None.0xff425090.dat，用binwalk分离，解压zip时出错，再试foremost命令，得到usbdata.txt