[CPPUCTF] Very_Easy_Baby_Forensic | 内存取证（非预期解）

请首先阅览原解法：https://mp.weixin.qq.com/s/lyucQMjQTs4AwEc4EpYKPQ

以下解法仅使用了 volatility：

使用 imageinfo 插件获取内存文件基本信息，分析出是哪个操作系统

volatility -f windows.vmem imageinfo

尝试使用 pslist 插件的输出中直接无法得到 calc.exe 的信息，由于 plist 列出的是进程信息，考虑是该进程已被销毁

原解法是人工 dump 注册表的方式提取出程序运行信息，这里使用另外一个 volatility 插件 userassist

但是使用 userassist 同样可以提取出进程信息，通过它找到了 Calculator.lnk （快捷方式）的最后执行时间

volatility -f windows.vmem --profile=Win7SP1x64 userassist

同样地 Chrome 的运行次数也可以找出

CPPUISA{21-07-2020_18:21:35_19}

这篇关于[CPPUCTF] Very_Easy_Baby_Forensic | 内存取证（非预期解）的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！