BUUCTF：[HDCTF2019]你能发现什么蛛丝马迹吗

https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97

memory.img

Volatility分析

查看文件的Profile

volatility -f memory.img imageinfo

猜测为：Win2003SP1x86

查看进程

volatility -f memory.img --profile=Win2003SP1x86 pslist

发现DumpIt.exe，然后查看cmd命令使用记录

volatility -f memory.img --profile=Win2003SP1x86 cmdscan

发现Flag字样，将DumpIt.exe这个程序dump下来

volatility -f memory.img --profile=Win2003SP1x86 memdump -p 1992 --dump-dir=./

foremost分离1992.dmp

key: Th1s_1s_K3y00000
iv: 1234567890123456

jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=

给了key(密码)和iv(偏移量)，AES加密

flag{F0uNd_s0m3th1ng_1n_M3mory}