Windows内存取证

?1.分析内存镜像，找到内存中的恶意进程，并将进程的名称作为flag值提交, 格式flag{xx}

?pstree????? 以树的形式展现进程

?

2.分析内存镜像，找到黑客访问恶意链接的时间格式flag{2023-01-19 00:00:00}?

目录

?1.分析内存镜像，找到内存中的恶意进程，并将进程的名称作为flag值提交, 格式flag{xx}

2.分析内存镜像，找到黑客访问恶意链接的时间格式flag{2023-01-19 00:00:00}?

3.分析内存镜像找到恶意网站链接并作为flag提交, 格式flag{xx}

4.题目找到计算机名称,作为flag提交,提交格式flag{}

?5.找到黑客注册的用户名,作为flag提交,提交格式flag{}

---

iehistory????? 查看浏览器记录

?

3.分析内存镜像找到恶意网站链接并作为flag提交, 格式flag{xx}

根据上题找到恶意连接的时间，就可以找到恶意网站链接

4.题目找到计算机名称,作为flag提交,提交格式flag{}

?hivelist??? 查看注册表信息??? Virtrul为内存地址

?

printkey?? 是输出的意思

-o? 后面跟要查询的内存地址

-K 后面跟路径

通过内存地址找到用户名

?

?5.找到黑客注册的用户名,作为flag提交,提交格式flag{}

-o? 后面跟要查询的内存地址

-K 后面跟路径

通过内存地址找到用户名