Windows内存取证

 1.分析内存镜像，找到内存中的恶意进程，并将进程的名称作为flag值提交, 格式flag{xx}

 pstree      以树的形式展现进程

 

2.分析内存镜像，找到黑客访问恶意链接的时间格式flag{2023-01-19 00:00:00} 

目录

 1.分析内存镜像，找到内存中的恶意进程，并将进程的名称作为flag值提交, 格式flag{xx}

2.分析内存镜像，找到黑客访问恶意链接的时间格式flag{2023-01-19 00:00:00} 

3.分析内存镜像找到恶意网站链接并作为flag提交, 格式flag{xx}

4.题目找到计算机名称,作为flag提交,提交格式flag{}

 5.找到黑客注册的用户名,作为flag提交,提交格式flag{}

---

iehistory      查看浏览器记录

 

3.分析内存镜像找到恶意网站链接并作为flag提交, 格式flag{xx}

根据上题找到恶意连接的时间，就可以找到恶意网站链接

4.题目找到计算机名称,作为flag提交,提交格式flag{}

 hivelist    查看注册表信息    Virtrul为内存地址

 

printkey   是输出的意思

-o  后面跟要查询的内存地址

-K 后面跟路径

通过内存地址找到用户名

 

 5.找到黑客注册的用户名,作为flag提交,提交格式flag{}

-o  后面跟要查询的内存地址

-K 后面跟路径

通过内存地址找到用户名