下载解压ez_raw,根据题意判断文件应为内存镜像,用volatility工具分析。
1、扫描cmd命令行获得一串base64字符串
volatility -f .\ez_raw --profile=Win7SP1x64 cmdscan
5oiR5Zyo5rWP6KeI5Zmo5LiK5LiL6L2955qE5Lic6KW/5om+5LiN5Yiw5LqG77yM6L+Z56C055S16ISR6buY6K6k5LiL6L295Yiw5LuA5LmI5Zyw5pa55LqG77yf
2、用Base64 解码得到提示 :我在浏览器上下载的东西找不到了,这破电脑默认下载到什么地方了?
3、于是查找Downloads日录,提取 atbash并了atbash 改为zip,解压需要密码。
volatility -f .\ez_raw --profile=Win7SP1x64 filescan | findstr Downloads
找到atbash
volatility -f .\ez_raw --profile=Win2008R2SP0x64 dumpfiles -Q 0x000000003de5b070 --dump-dir .\
4、尝试爆破无解,于是重新分析查找文件,尝试提取TranscodedWallpaper.jpg密码图片
\Volatile>volatility -f .\ez_raw --profile=Win7SP1x64 filescan | findstr .jpg
\Device\HarddiskVolume2\Users\admin\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
volatility -f .\ez_raw --profile=Win2008R