ctfshow取证

本文最后更新于:2023年9月14日 下午

[TOC]

[ctfshow取证]

JiaJia-CP-1

1.佳佳的电脑用户名叫什么(即C:\Users{name})

1
vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 filescan | grep "Desktop"

image-20230914144549965

JiaJia

2.最后一次运行计算器的时间?(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)

timeliner就可以看到calc.exe(计算器)的运行时间

1
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 timeliner >time.txt

image-20230914153626450

取证
#ctfshow取证
ctfshow取证
https://leekosss.github.io/2023/09/14/[ctfshow取证]/
作者
leekos
发布于
2023年9月14日
更新于
2023年9月14日
许可协议