vol.py -f '/root/桌面/raw' imageinfo --查看镜像信息
Filescan直接找flag关键字
命令
vol.py -f '/root/桌面/raw' --profile=Win7SP1x86_23418 filescan |grep 'flag'
然后dumpfiles导出压缩包
命令
vol.py -f '/root/桌面/raw' --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001ea5e760 -D ./
发现压缩包需要解压密码(默认导出来是dat后缀,要改一下后缀)
继续使用filescan查找pwd关键字(一般找密码就可以搜“pass”、“password”、“passwd”、“pwd”,这里pwd是正确答案)
命令
vol.py -f '/root/桌面/raw' --profile=Win7SP1x86_23418 filescan |grep 'pwd'
一样的方法dump出来
命令
vol.py -f '/root/桌面/raw' --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001dad4848 -D ./
打开看到密码
得到flag
这里我是使用filescan直接找的,用iehistory也可以在浏览器历史记录里面找到pwd,不过是个压缩包
标签:vol,py,raw,pwd,内存,Forgotten,--,password,root From: https://www.cnblogs.com/haiouxiansheng/p/18236323