2024GHCTF的三道取证题
[GHCTF 2024 新生赛]皆非取证
vol.py -f chall.vmem --profile=Win7SP1x64 filescan | grep zip
找到压缩包
vol.py -f chall.vmem --profile=Win7SP1x64 mimikatz
mrl64l0v3miku
这个是密码,解压得flag
[GHCTF 2024 新生赛]是名取证
vol.py -f chall.vmem --profile=Win7SP1x64 iehistory
vol.py -f chall.vmem --profile=Win7SP1x64 memdump -p 1836 -D ./..
strings explorer.exe | grep flag
[GHCTF 2024 新生赛]佛说取证
vol.py -f chall.vmem --profile=Win7SP1x64 clipboard
jingangjing
标签:profile,取证,Win7SP1x64,--,三道,2024GHCTF,vmem,chall,py From: https://www.cnblogs.com/WTT001/p/18550257