1，題目給了一個dump記憶體映象，使用volatility進行分析

　　（記憶體映象最好與volatility在同一目錄下）

　　volatility -f mem.dump imageinfo

2，然後看一下記憶體中的程序

　　volatility -f mem.dump --profile=Win7SP1x64 pslist

　　發現有一個CnCrypt.exe，看來這題和CnCrypt加密有關

3，檢視一下記憶體中的file有沒有flag的資訊：

　　volatility -f mem.dump --profile=Win7SP1x64 filescan | find /i "flag"

　　注意：Windows下用find /i "flag"　　kali中用grep flag

4，果然出現flag.ccx，然後匯出：

　　volatility -f mem.dump --profile=Win7SP1x64 dumpfiles -Q 0x000000003e435890

　　注：若未指定dump路徑，則在volatility所在路徑

5，掛載到CnCrypt上，需要密碼才能檢視

6，cmdscan獲取曾經在cmd上輸入過的內容

　　得到資訊：flag.ccx的密碼和Administrator的密碼相同

7，接下來尋找Administrator的密碼

　　先獲取登錄檔中的 SYSTEM 和 SAM 的虛擬地址

　　hashdump獲取使用者密碼的hash值

　　CMD5查詢hash值得到Administrator賬戶的密碼

8，再掛載到CnCrypt上，輸入密碼後檢視，得到flag

-------------------------------------------

個性簽名：祈禱奇蹟其實不如無盡的練習

如果覺得這篇文章對你有小小的幫助的話，記得在右下角點個“推薦”哦，博主在此感謝！

萬水千山總是情，打賞一分行不行，所以如果你心情還比較高興，也是可以掃碼打賞博主，哈哈哈(っ•̀ω•́)っ✎⁾⁾！