2020湖湘杯Miscellaneous竞赛-Misc

volatility -f 1.vmem imageinfo
volatility -f 1.vmem --profile=Win2003SP1x86 hashdump
volatility -f 1.vmem --profile=Win2003SP1x86 filescan | grep .txt
volatility -f 1.vmem --profile=Win2003SP1x86 dumpfiles -Q 0x000000000412cde0 --dump-dir=.

dump file.txt win下用记事本打开
什么？计算机又被不知名账户登录了？明明在计算机管理中没有这个用户，为什么还会被这个用户登录呢？电脑跟前的你能帮我找到原因吗？flag为该用户的用户名以及密码的md5值。

格式：md5(用户名:密码)    

https://blog.****.net/q851579181q/article/details/109454629

参考链接：

内存取证之旅

2020湖湘杯MISC全解-writeup

其他题目：2020湖湘杯部分Writeup 湖湘杯 联合魔法少女WriteUp 2020湖湘杯部分WriteUp

原文地址：https://www.cnblogs.com/qing123tian/p/13921522.html