步骤

1.获取镜像信息

vol2 -f memory.img imageinfo

2.查看进程

这里使用Win2003SP086不行，使用后面的profiles

vol2 -f memory.img --profile=Win2003SP1x86 pslist

可疑进程：

 DumpIt.exe   //内存转储工具

从运行时间也可以看出来这个进程和前面的进程相差了几个月时间。

3.查看命令行使用记录

vol2 -f memory.img --profile=Win2003SP1x86 cmdscan

发现只有DumpIt.exe使用过。

4.使用screenshot查看屏幕伪截图

vol2 -f memory.img --profile=Win2003SP1x86 screenshot -D .

在这张图片发现了flag.png，和DumpIt.exe，说明执行了DumpIt.exe。

关键在flag.png。所以去找到这张图片。

5.filescan扫描文件

vol2 -f memory.img --profile=Win2003SP1x86 filescan |wsl grep "flag.png"

6.dumpfiles导出图片

vol2 -f memory.img --profile=Win2003SP1x86 dumpfiles -Q 0x000000000484f900 -D .

发现是一张二维码，解码得到一串字符，猜测base64，解码乱码。

6.使用windows插件打印桌面窗口详细信息

vol2 -f memory.img --profile=Win2003SP1x86 windows > 1.txt
# 这里因为有中文会报错，重定向到1.txt

搜索flag.png可以看到flag.png是由explorer.exe，pid:1992调用的。

7.转储pid：1992

vol2 -f memory.img --profile=Win2003SP1x86 memdump -p 1992 -D .

然后使用foremost分离1992.dmp。

foremost 1992.dmp

拿到key和iv。（AES加密）

在线AES加密解密、AES在线加密解密、AES encryption and decryption--查错网

flag{F0uNd_s0m3th1ng_1n_M3mory}