v&n赛 内存取证题解（已更新）

题目是一个raw的镜像文件

用volatility搜索一下进程

有正常的notepad，msprint，还有dumpit和truecrypt

volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory

查看ie历史的时候有一个百度网盘的连接但是没有密码

提示放出了 记事本

但是查notepad实在是没有什么收获

上取证大师

 

 这就很好用，恢复一下格式化了的数据，直接搜索txt后缀找到了提取码

本来以为这题目就差不多了

然后又下载下来一个加密文件VOL，扔到取证大师里显示truecrypt加密。

去找内存密钥，直接truecrypt加密程序应该就可以

在取证大师里同一个文件夹下找到了一个ky文件，试了试，解出来了

 

 

 

 拿到了key，但是后来有大佬告诉我直接EFDD就能解出key

然后手里拿着这个key懵了很久，以为是手动磁盘恢复，后来突然开了个脑洞，我拿key当作密码又重新解了一次truecrypt，竟然成功了

 

 

 ok，一个加密的zip文件，密码不知道是啥。

又回去找密码，ie，记事本，dumpit都用到了

图片那里还没怎么用到，按照基本操作从内存恢复了几张图片

volatility -f mem.raw --profile=Win7SP1x86_23418 filescan |grep -E 'jpg|png|jpeg|bmp|gif'

没什么结果，还有一个姿势是用gimp看dump出来的msprint.exe的数据。

奈何我调不出来

 

 

 这道题就死在这里了。。。

 ---------三天后-------------

抄了pur3大佬博客的参数，才出来原来这位移是要拖的。。。。