1.情景复现

我姐姐的电脑坏了。我们非常幸运地恢复了这个内存转储。你的工作是从系统中获取她所有的重要文件。根据我们的记忆，我们突然看到一个黑色的窗口弹出，上面有一些正在执行的东西。崩溃发生时，她正试图画一些东西。这就是我们从崩溃时所记得的一切。

注意：此挑战由 3 个flag组成。

2.flag1

2.1获取系统版本号

volatility_2.6_win64_standalone.exe -f MemoryDump_Lab1.raw imageinfo

2.2查看控制台运行命令

volatility_2.6_win64_standalone.exe -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdsc

2.3查看控制台输出

volatility_2.6_win64_standalone.exe -f MemoryDump_Lab1.raw --profile=Win7SP1x64 consoles

2.4base64解密得到了第一个flag1

echo 'ZmxhZ3t0aDFzXzFzX3RoM18xc3Rfc3Q0ZzMhIX0=' |base64 -d获取到flag：flag{th1s_1s_th3_1st_st4g3!!}

flag{th1s_1s_th3_1st_st4g3!!}

3.Flag2

3.1 分析进程信息

volatility_2.6_win64_standalone.exe -f MemoryDump_Lab1.raw --profile=Win7SP1x64 consoles

3.2 进程数据保存

mspaint.exe 为windows自带画图工具，为PID 2424的mspaint.exe程序以dmp格式保存出来就可以了

volatility_2.6_win64_standalone.exe -f MemoryDump_Lab1.raw --profile=Win7SP1x64 memdump -p 2424 -D D:\BaiduNetdiskDownload\raw的内存取证\lab1

3.3 文件调整格式

mv 2424.dmp 2424.data（linux）

3.4 图片提取

使用gimp工具去打开图片文件

gimp 2424.data

3.5 调整图像数值

设置上合适的宽度和高度还有移度，就能看到图片的文字了

3.6 图像变换

竖直翻转旋转180度

3.7 获取到flag

获取到flag值为： flag{good_boy_good_girl}

4.Flag3

4.1 获取命令行下运行的程序cmdline

4.2 检索文件

文件保存在\Alissa Simpson\Documents\目录下

4.3 dumpfiles提取文件

volatility_2.6_win64_standalone.exe -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 -D ./

4.4 解压

使用压缩工具进行尝试解压，有解压密码，注释中提示解压密码为 Alissa的NTLM hash值（大写）

Password is NTLM hash(in uppercase) of Alissa's account passwd.
密码是 Alissa 帐户密码的 NTLM 哈希（大写）。

4.5 使用hashdump获取hash值

volatility_2.6_win64_standalone.exe -f MemoryDump_Lab1.raw --profile=Win7SP1x64 hashdump

然后转化为大写

a = 'f4ff64c8baac57d22f22edc681055ba6'
print(a.upper())F4FF64C8BAAC57D22F22EDC681055BA6

4.6 获取flag

使用上述密码解压file.None.0xfffffa8001034450.rar文件，得到文件：flag3.png

flag为：flag{w3ll_3rd_stage_was_easy}