volatility -f mem.dump imageinfo
查看下内存中有哪些进程
volatility -f mem.dump --profile=Win7SP1x64 pslist
cmd.exe
和CnCrypt.exe
这两个进程比较可疑
查看cmd
命令的使用情况
volatility -f mem.dump --profile=Win7SP1x64 cmdscan
发现了一个flag.ccx_password_is_same_with_Administrator
flag.ccx
的密码是Administrator
的密码
文件扫描flag.ccx
volatility -f mem.dump --profile=Win7SP1x64 filescan | grep 'flag.ccx'
然后导出flag.ccx
volatility -f mem.dump --profile=Win7SP1x64 dumpfiles -Q 0x000000003e435890 -D ./
接下来把管理员的密码hash导出来进行破解
volatility -f mem.dump --profile=Win7SP1x64 hashdump
使用ophcrack
进行破解
flag{now_you_see_my_secret}