一、flag藏在了某个文件中
-
获取镜像信息:
volatility -f [镜像路径] imageinfo
可以确定Profile为Win7SP1x64
-
进行文件扫描:
由于flag藏在某个文件中,于是我们进行
filescan,并利用grep命令找到关于flag的文件volatility -f [镜像路径] --profile=Win7SP1x64 filescan | grep flag
-
dump出这个文件:
volatility -f [镜像路径] --profile=Win7SP1x64 dumpfiles -Q [文件地址] -D [保存路径]
-
读文件:
用
cat [文件路径]
成功获取flag
二、卑劣的手段
初音姐姐被绑架了!这是二次元世界警方获取到的服务器快照,快解救初音姐姐获得FLAG吧
与上题唯一不同的地方在filescan时grep一些可能存在flag的文件格式
然后grep -E "txt|png|jpg"
最后一行发现可疑的Chuyin.png
然后zsteg一把梭
