volatility取证
Volatility分析
查看文件的Profile
profile选Win2003SP0x86好像不对
应该是Win2003SP1x86
看一下cmd进程
DumpIt.exe
发现Flag字样,将DumpIt.exe这个程序dump下来
volatility_2.6_lin64_standalone -f memory.img --profile=Win2003SP1x86 memdump -p 1992
--dump-dir=./
foremost分离1992.dmp
