全国职业技能大赛网络安全-金砖技能大赛——应急响应内存镜像分析（超详细解析）

全国职业技能大赛网络安全-金砖技能大赛——应急响应内存镜像分析（超详细解析）

背景：作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能，利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。 应急响应阶段题目主要包含：Windows 内存镜像分析，Linux 内存镜像分析， 磁盘文件恢复，恶意程序分析等内容。

项目 1. 内存镜像分析
任务一 Windows 内存镜像分析

你作为 A 公司的应急响应人员，请分析提供的内存文件按照下面的要求找到 相关关键信息，完成应急响应事件。

1、从内存中获取到用户admin的密码并且破解密码，以Flag{admin,password} 形式提交(密码为 6 位)；

//列举用户及密码
 //volatility -f 1.vmem --profile=Win7SP1x86 printkey -K"SAM\Domains\Account\Users\Names"
 //从内存中获取密码哈希
 //volatility -f 1.vmem  --profile=Win7SP1x86 hivelist
 //从内存中获取密码哈希
 volatility -f 1.vmem  --profile=Win7SP1x86 hashdump  (可以跟-f 也可以跟sam system的进程)
 //尝试利用网站解密 解不开
 md5：29fb61bd2963b1975cf435a2565af910

mimikatz插件也可以
 使用自带的工具
 volatility -f 1.vmem --profile&#