1.flag.raw

1."volatility -f flag.raw imageinfo"查看镜像，得到基本信息

2."volatility -f 1.raw --profile=Win7SP0x86 filescan | grep flag"获取包含flag的文件，得到一个flag.txt,dump下来，无

3."volatility -f 1.raw -profile=Win7SP0x86 clipboard"查看剪切板，找到一段base64

4.解码后得到flag

5."volatility -f 1.raw --profile=Win7SP0x86 hashdump"密码，最后一行三个冒号前面的是密码，md5解完为qwer1234

2.[DDCTF2018]流量分析

1.流量题，查看导出对象，可以看到只有IMF中有可导出的文件，导出后都为email，电脑email坏了，就换了一种方式。流量中搜索关键字，在tcp contains "KEY"中找到一大段base64,解码后得到png

2.在线识别网站：https://www.onlineocr.net/zh_hant/ 根据提示，手动补全开头

3.将它作为TLS密钥。添加到流量中（之前一篇WP有详细步骤，这里就不详写了，就是在首选项中添加），填好后，追踪TCP流

4.得到flag

3.[GKCTF 2021]FireFox Forensics

1.用github上面的firepwd工具

https://github.com/lclevy/firepwd.git

2.将题目中给的文件扔进firepwd工具的文件夹中，用cmd运行，即可得到flag

4.[羊城杯 2020]TCP_IP

1.流量题，刚进去就报错

2.继续看，观察几个tcp的详细内容，发现可以连成一段话，根据题目名称，把每一个ip字节名提取出来

3.转为ASCII

f = open(r'out.txt')
for i in f.readlines():
	print(chr(int(i[-3:-1], 16)),end='')

4.得到一串字符

b'@iH<,{*;oUp/im"QPl`yR*ie}NK;.D!Xu)b:J[Rj+6KKM7P@iH<,{*;oUp/im"QPl`yR'

5.base91解码，得到flag，原字符串解码后有乱码

标签：--,解码,28,流量,raw,flag,2022,得到,volatility
来源： https://www.cnblogs.com/120211P/p/16421081.html