苟有恆,必有三更眠,五更起。
檔案 notepad裡的祕密(二)
0x00
文接上文,前一篇關於記憶體取證讀取程序。
這篇總結一下,記憶體取證讀取檔案。
0x01
step1:常規操作,先讀取記憶體型別:
step2:可以得到profile型別 WinXPSP2x86 -f 指定檔案。看程序?還像上一題?不存在的!
出來很多檔案,但是沒有notepad程序。
step3:昨天閱讀幫助,今天又讀了一遍,發現我們除了程序,還可以檢視檔案,
命令:volatility -f 2.raw pslist --profile=WinXPSP2x86
發現檔案很多,又因為提示說:在flag.txt裡,所以grep flag.txt
果然有收穫!
step4:下面就是讀這個檔案唄!問題來了,又不是在我們電腦上的檔案,怎麼讀?看了強哥的部落格,明白了!
dumpfile命令!
各個引數都研究了一遍,最後一個引數是新遇到的,地址偏移量。
百度得:檔案中的地址與記憶體中表示不同,它是用偏移量(File offset)來表示的。在SoftICE和W32Dasm下顯示的地址值是記憶體地址
step5 :這個檔案已經儲存到我的機器上,直接cat,就得到flag了!
-----更新於2018.319,將丟失的圖片補全(之前不會用markdown,用HTML編輯器導致圖片丟失,一直沒有發現)-----
相關推薦
苟有恆,必有三更眠,五更起。
檔案 notepad裡的祕密(二)0x00文接上文,前一篇關於記憶體取證讀取程序。這篇總結一下,記憶體取證讀取檔案。0x01step1:常規操作,先讀取記憶體型別:step2:可以得到profile型別 WinXPSP2x86 -f 指定檔案。看程序?還像上一題?不存在的!出來很多檔案,但是沒有notepad
三人行,必有我師
正則表示式——古老而又強大的文字處理工具。僅用一段簡短的表示式語句,就能快速地實現一個複雜的業務邏輯。掌握正則表示式,讓你的開發效率有一個質的飛躍。 正則表示式經常被用於欄位或任意字串的校驗,比如下面這段校驗基本日期格式的JavaScript程式碼: var reg =
心若不死,必有作為
style enter post ali gpo -a right p s center 心若不死,必有作為。 獻給 有理想有行動的小夥伴
有借(debit)必有貸(credit),借貸必相等(摘)
理解了這句話的真正含義,無論多複雜的業務,都很容易記入借貸分錄。首先,將一筆要記錄的交易中涉及的所有會計科目及金額標出來,劃分成資產,負債,權益,收入,費用。然後,記住等式:資產+費用=負債+權益+收入接著,確定借方和貸方:分錄左為借,右為貸。方程左邊左(借)為增,方程右邊右
得意時莫忘形,必有坎坷在前方
我們常說:小時偷針,大時偷金。小時偷針,沒有被抓住,就以為自己很厲害,偷盜技巧高超,沒有人能發現自己,就越偷越大膽,越偷越張狂,殊不知這只是自己一時運氣好罷了。直到被抓,才知道自己之前的自信是多麼的可笑,但一切都晚了。 這也是新聞中保姆內心的真實寫照吧。 其實,在看到這位保姆的新聞時,我首先想到的是我自己。
感覺奇怪的地方,必有玄機
微信在上一個大版本中將公眾號內容的展示更改為資訊流模式。剛開始還有些不習慣,也不明白為什麼要這樣做。在使用了一段時間之後,慢慢也就
佈局:高度已知,佈局一個三欄佈局,左欄和右欄寬度為200px,中間自適應 浮動佈局詳解
需求:高度已知為200px,寫出三欄佈局,左欄和右欄各位200px,中間自適應,如下圖所示: 方法一:float浮動佈局 原理是:定義三個區塊,需要注意的是中間的區塊放在右邊區塊的下面,統一設定高度為200px,然後設定左邊欄寬度為200px並且float:left,設定右邊欄寬度為200px並且fl
C語言,輸入abc三個整數,並從大到小排序輸出和“找出三個數中最大的數”的中間變數的用法的區別
共同點:都是中間變數,都可以重複拿來做中轉站使用 不同點:排序的題目中,中間變數只是做中轉站作兩個變數交換值用來,並不是要用來儲存最終要輸出的值 而找出最大數或者最小數的題目中,中間變數不但做交換用的中轉站,還要儲存程式最終要輸出的值
普通程式設計師,如何利用三年成為年薪五十萬架構師(文末福利)
不管是開發、測試、運維,每個技術人員心裡都有一個成為技術大牛的夢,畢竟“夢想總是要有的,萬一實現了呢”!正是對技術夢的追求,促使我們不斷地努力和提升自己。 誤區: 有人認為想成為技術大牛最簡單直接、快速有效的方式是“拜團隊技術大牛為師”,讓他們平時給你開小灶,給你分配一些有難度的任務。
什麼是RST包,什麼是三次握手,什麼是四次握手
三次握手 Three-way Handshake 一個虛擬連線的建立是通過三次握手來實現的 1. (B) --> [SYN] --> (A) 假如伺服器A和客戶機B通訊. 當A要和B通訊時,B首先向A發一個SYN (Synchronize) 標記的包,告訴A請求建立連線. 注意: 一個
題目:TCP 的三次握手是什麼,為什麼採用三次握手,兩次握手不可以嗎?
TCP 連線是通過三次握手進行初始化的。 三次握手的目的是同步連線雙方的序列號和確認號並交換 TCP 視窗大小資訊。以下步驟概述了通常情況下客戶端計算機聯絡伺服器計算機的過程: 1. 客戶端向伺服器傳送一個SYN置位的TCP報文,其中包含連線的初始序列號x和一個視窗大小(表
(詳細)Hibernate查詢技術(Query、Session、Criteria),Hibernate的三種狀態,Hibernate集合struts2實現登入功能(二)
Hibernate中提供了三種查詢方式: 1)Session的查詢:按主鍵查詢查詢,方法為get或load 2)Query的查詢:使用HQL語句或SQL語句完成查詢 3)Criteria的查詢:通過方法和類中屬性的關係,來設定查詢條件,完成查詢。 Session中get和load方法的區別? 1) 如果
將自然數1--9這九個數分成三組,將每組的三個數字拼成三位數,每個數字不能重複,且每個三位數都是完全平方數。請找出這樣的三個三位數。
program p1;var a:array[1..3]of integer; i,j,k,x:integer;function yes:boolean;var i:integer; d:set of 0..9;begin d:=[]; for i:=1 to 3 do d:=d+[a[i] d
著名的菲波拉契(Fibonacci)數列,其第一項為0,第二項為1,從第三項開始,其每一項都是前兩項的和。程式設計求出該數列前N項資料。
#include <stdio.h> int main() { int f(int n); void k(int n); k(10); return 0; } // 遍歷列印函式 void k(int n){ for(;n
【JavaScript】ESlint & Prettier & Flow組合,得此三神助,混沌歸太清
Flow Flow的意義 Flow是faceBook開源的一個JavaScript靜態型別檢查工具,作用類似TypeScript,但是它不像TS那樣是一門獨立的語言,而是作為一個babel-plugin,藉助babel的編譯切入JavaScript的編碼當中,同時,與ts不同的是,Flow.j
貴有恆,何必三更起五更睡;最無益,只怕一日曝十日寒。
最近發現一個非常簡單好用的內網對映工具-ngrok,用了一段時間發現還是很穩定的。ngrok是個國外的工具,伺服器也在國外,但由於中國特色,國內訪問不了,所以有好心人用國內的伺服器弄了一個,現在用的
聯想面試智力題,聽說前面三道題必考(有部份解答)
聯想面試智力題,所說前面三道題必考,這個沒有被證實過。不過,當用來完完了沒有什麼不可的。 題目如下: 1、一條繩子,從一頭點燃,全部燒完要耗時1個小時,問如何用這條繩子測出半個小時。 我的答案:假設繩子是鈞勻的,把繩子剪成兩斷,其中一斷燒完,那就是半小時。
度度熊想去商場買一頂帽子,商場裏有N頂帽子,有些帽子的價格可能相同。度度熊想買一頂價格第三便宜的帽子,問第三便宜的帽子價格是多少?
length dex 相同 多少 turn this javascrip brush 便宜 var data=[10,25,50,10,20,80,30,30,40,90]; function fun(arr,index){ var min=Math.
ios上架app希望每一個技術能有更好的一份傭金 , 只要有心做你一定能做到更多
ios上架app工具之類ios每個9000元起步而後每過一個+500封頂20000元一個,我們不做預付款,請在app通過審核之後聯系我,IOS版本兼容8.0或以上 8.6或以上。我有需求你有技術, q 2305683978 ,D814619026 你可以跟誰都過不去但是你不能跟 money過不去吧 io
設計一個程序,有一個虛擬存儲區和內存工作區,實現下述三種算法中的任意兩種,計算訪問命中率(命中率=1-頁面失效次數/頁地址流長度)。附加要求:能夠顯示頁面置換過程。算法包括:先進先出的算法(FIFO)、最少使用算法(LFU)、最近未使用算法(NUR)
== oat 程序 表示 隊列 ini ++ 等待 進程 第一部分。。。 #include <cstdlib>#include<conio.h> #include<stdio.h>#include<stdlib.h>#incl