Windows内存取证

 1.分析内存镜像,找到内存中的恶意进程,并将进程的名称作为flag值提交, 格式flag{xx}

 pstree      以树的形式展现进程

Windows内存取证_第1张图片

 Windows内存取证_第2张图片

2.分析内存镜像,找到黑客访问恶意链接的时间格式flag{2023-01-19 00:00:00} 

目录

 1.分析内存镜像,找到内存中的恶意进程,并将进程的名称作为flag值提交, 格式flag{xx}

2.分析内存镜像,找到黑客访问恶意链接的时间格式flag{2023-01-19 00:00:00} 

3.分析内存镜像找到恶意网站链接并作为flag提交, 格式flag{xx}

4.题目找到计算机名称,作为flag提交,提交格式flag{}

 5.找到黑客注册的用户名,作为flag提交,提交格式flag{}


iehistory      查看浏览器记录

 Windows内存取证_第3张图片

3.分析内存镜像找到恶意网站链接并作为flag提交, 格式flag{xx}

根据上题找到恶意连接的时间,就可以找到恶意网站链接

Windows内存取证_第4张图片

4.题目找到计算机名称,作为flag提交,提交格式flag{}

 hivelist    查看注册表信息    Virtrul为内存地址

 Windows内存取证_第5张图片

printkey   是输出的意思

-o  后面跟要查询的内存地址

-K 后面跟路径

通过内存地址找到用户名

 Windows内存取证_第6张图片

 5.找到黑客注册的用户名,作为flag提交,提交格式flag{}

-o  后面跟要查询的内存地址

-K 后面跟路径

通过内存地址找到用户名

Windows内存取证_第7张图片

你可能感兴趣的:(缓存,内存取证)