一个内存取证题,题目如下:

1
小明在电脑上画了一幅图,这幅图的内容是什么,请提交其内容的md5值(32位小写)。

经典起手式imageinfo

image-20240723104201276

既然要求我们找图片,那就直接filescan出所有png,jpg,bmp,gif后缀名的文件

image-20240723104602194

下面那个admin.bmp没法dump下来,上面这个jpg图片可以

image-20240723104804628

dump下来是这么一张图

image-20240723104828121

在乱翻cmd记录时看到他执行过这样一个命令

image-20240723105020025

看来他对这个字符串进行过Atbash,那么cyberchef启动

image-20240723105218652

要求提交的是md5值(32位小写)

image-20240723105317395