[CPPUCTF] Very_Easy_Baby_Forensic | 内存取证(非预期解)
作者:互联网
请首先阅览原解法:https://mp.weixin.qq.com/s/lyucQMjQTs4AwEc4EpYKPQ
以下解法仅使用了 volatility:
使用 imageinfo 插件获取内存文件基本信息,分析出是哪个操作系统
volatility -f windows.vmem imageinfo
尝试使用 pslist 插件的输出中直接无法得到 calc.exe 的信息,由于 plist 列出的是进程信息,考虑是该进程已被销毁
原解法是人工 dump 注册表的方式提取出程序运行信息,这里使用另外一个 volatility 插件 userassist
但是使用 userassist 同样可以提取出进程信息,通过它找到了 Calculator.lnk (快捷方式)的最后执行时间
volatility -f windows.vmem --profile=Win7SP1x64 userassist
同样地 Chrome 的运行次数也可以找出
CPPUISA{21-07-2020_18:21:35_19}
标签:插件,imageinfo,Very,CPPUCTF,Forensic,信息,userassist,解法,volatility 来源: https://www.cnblogs.com/zhwer/p/14649673.html