某省赛题-windows内存取证

1.获取admin用户密码是多少？

这里我们使用hashdump之后用john爆破没有结果，然后使用lsadump出来了flag

2.获取ip和主机名是什么？

主机名： 看注册表 SAM：记录了所有的用户 SYSTEM：可以看主机名 SOFTWARE：隐藏的用户，这里看到最后也可以看到主机名

可以看到本机ip地址是192.168.85.129

flag{192.168.85.129--WIN-9FBAEH4UV8C}

3.获取桌面上的flag.txt文件的内容是什么？

flag{180d163ca48c793cb0db74fb96d6a882}

4.服务器存在一个挖矿病毒，矿池地址是？

查看网络连接情况，然后 可以看到54.36.109.161：2222比较可疑，怀疑是挖矿地址，然后它的pid是2588，记下来，可能用到，它的服务名是svchost.exe这个本身是系统的进程服务名，伪装了

flag{54.36.109.161:2222}

5.恶意代码在系统中注册了服务，服务名是什么？

恶意代码就是上一个的矿池地址，通过矿池地址去找进程名，使用svcscan，来看进程和子进程的名 我们先看一个2588这个挖矿进程下的字进程，然后都记录下来，2588和3036

然后我们来使用svcscan来查看服务，因为题目要的是注册了什么服务，我们看到最后的一个pid是3036，是挖矿地址的pid，这个就是恶意注册的服务类

这里知道了恶意服务的服务名为flag{VMnetDHCP}

6.获取恶意代码进程名pid

以上两个题目可以知道一个是2588一个是3036 flag{2588，3036}

7.病毒在自我删除时执行的命令是什么？ 这里我们要找病毒再自我删除执行的命令，那么我们就需要去看病毒的源码，我们memdump下来loader这个进程

flag{ /c @ping -n 15 127.0.0.1&del}