[陇剑杯 2021]内存分析(问1)
没有空格,但有下划线
查看imageinfo获取操作系统类型:
(volatility命令可以看“电脑基础知识”部分的volatility及部分插件的安装与配置)
vol.py -f Target.vmem imageinfo
直接使用lsadump从注册表中提取LSA密钥信息:
vol.py -f Target.vmem --profile Win7SP1x64 lsadump
得到flag:
flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}
(按理说是flag{W31C0M3_T0_THiS_34SY_F0R3NSiCX},对应没有空格,但有下划线)
依照NSSCTF靶场的要求(保留空格):
NSSCTF{W31C0M3 T0 THiS 34SY F0R3NSiCX}
也可以只用mimikatz插件来一把梭:
vol.py --plugin=/opt/volatility/plugins -f Target.vmem --profile=Win7SP1x64 mimikatz
一样得到flag