先判断是什么系统

.\volatility.exe -f .\MemoryLife.raw imageinfo

Win7SP1x64

1.请给出内存镜像中黑客使用工具对外连接的IP地址及端口号是___________。（格式为IP_PORT）

.\volatility.exe -f .\MemoryLife.raw --profile=Win7SP1x64 netscan

有一个nc连接192.168.233.1:54266

2.请给出内存镜像中用户BGS-Chenyi的开机密码___________。

插件拿不到密码

使用工具 Passware Kit Forensic

abc123456

3.黑客工具里的LOGONSERVER环境变量值是___________。

这里的黑客工具应该就是指的是第一题中的nc.exe，把它dump下来

.\volatility.exe -f .\MemoryLife.raw --profile=Win7SP1x64 pslist

.\volatility.exe -f .\MemoryLife.raw --profile=Win7SP1x64 memdump -p 3036 -D ./

用010直接搜索

BGS-CHENYJ-PC

4.请给出内存镜像中屏幕里的内容___________。

python2 vol.py -f MemoryLife.raw --profile=Win7SP1x64 screenshot --dump-dir ./

就一张图有内容，但没有什么利用价值

查看进程信息，发现了一个mspaint，dump下来用gimp查看内容

要把后缀改成.data才能导入到gimp

在宽度为576的时候可以看到有字符，是倒立的

镜像+旋转就正常了

gydk5sp

5.请给出wps.ini最后的修改时间_____________。（格式为YYYY-MM-DD_hh:mm:ss_+0000）

恢复被删除的文件，也可以用来查看被修改的文件，东西很多把关于wps的过滤出来

.\volatility.exe -f .\MemoryLife.raw --profile=Win7SP1x64 mftparser | findstr "wps"

2023-09-19_03:31:27_+0000