volatility -f mem.dump imageinfo
查看下内存中有哪些进程
volatility -f mem.dump --profile=Win7SP1x64 pslist
cmd.exe和CnCrypt.exe这两个进程比较可疑
查看cmd命令的使用情况
volatility -f mem.dump --profile=Win7SP1x64 cmdscan发现了一个flag.ccx_password_is_same_with_Administratorflag.ccx的密码是Administrator的密码
文件扫描flag.ccx
volatility -f mem.dump --profile=Win7SP1x64 filescan | grep 'flag.ccx'然后导出flag.ccx
volatility -f mem.dump --profile=Win7SP1x64 dumpfiles -Q 0x000000003e435890 -D ./
接下来把管理员的密码hash导出来进行破解
volatility -f mem.dump --profile=Win7SP1x64 hashdump
使用ophcrack进行破解
flag{now_you_see_my_secret}
