网管小王制作了一个虚拟机文件，让您来分析后作答：

 

github上下载开元内存取证框架Volatility

windows直接下载发布压缩包

https://github.com/volatilityfoundation/volatility3/releases/tag/v1.0.1

开始做题：

题目6.1：虚拟机的密码是——。

1、使用imageinfo参数获取镜像系统信息。

 2、使用hashdump抓取哈希值

3、发现抓取出来的hash无法直接解密，尝试直接抓取明文。

根据题意，找到密码

题目6.2 虚拟机中有一个某品牌手机的备份文件，文件里的图片里的字符串为_____。

1、根据题意，将镜像中的所有文件名称导出。

 2、根据搜索国内常见的手机品牌，确定该手机品牌，筛选出属于该品牌的文件。

 3、将华为手机的相关文件下载下来，找到了手机的备份文件images0.tar.enc，位置在桌面。但是

由于华为手机助手加密的文件解密时需要依赖整个文件夹中的文件，只有一个images0.tar.enc是不行的。这个时候仔细观察了目录结构，发现这些文件都位于xx.yy.zz这个文件夹下面。

 4、提取xx.yy.zz.exe文件

 5、有了完整的路径，就可以解密了。

下载华为备份文件解密脚本：https://github.com/RealityNet/kobackupdec

6、解压查看得到flag。

 

 

 

标签：陇剑杯,文件,github,抓取,虚拟机,第六,解密,备份文件,内存
来源： https://blog.csdn.net/qq_32393893/article/details/120309155