内存取证——volatility

0x00

最近没有做题，之前放掉的一个杂项题，现在重新看看。

0x01

通过hint，了解到内存取证这个神奇的东西，那么不急着做题，先把这个研究研究。

0x02

内存取证，是指利用将内存进程写入镜像文件，通过镜像文件查看之前内存进程的一些信息。（个人理解，欢迎纠正）
这里主要使用工具——volatility.

0x03

工具介绍：volatility
volatility是一款开源的内存取证分析工具，由python编写，支持各种操作系统。可以通过插件来拓展功能。kali下集成了该工具，命令行输入volatility使用该工具。

0x04

工具安装我就不多说了，建议安装kali，里面集成许多工具，包括这个。
其他环境安装方法——传送门

0x06

作为萌新，我的第一步——阅读帮助
volatility -h

在通过阅读博客，大概知道操作流程了。
下面开始解题：
notepad的秘密——解题过程：
● 下载后是一个.raw文件，raw意为“原材料，未加工的”。。
● 进入.raw文件所在目录，输入命令判断该文件内存进程
volatility -f 1.raw imageinfo

● 可以得到profile类型 WinXPSP2x86 -f 指定文件
● 再查看进程信息， 输入命令
volatility -f 1.raw pslist --profile=WinXPSP2x86

● 进程可以说很多了，但是我们可以利用grep命令，搜索出notepad

●
● 进程中有notepad.exe （从博客里看到的东西可以猜测，这个notepad是一个插件）而且题目就是notepad里的秘密，且hint里提到flag在flag.txt里，所以直接用notepad插件列出其中包含的txt内容
● 输入命令
volatility notepad -f 1.raw pslist --profile=WinXPSP2x86

即可得到flag