0x01 内存取证

题解：取证大师一把梭

于是，先去找取证大师

微信客服试图套到白嫖软件，非常失败

于是去cloud盘精灵，花钱买了100个豆，找到了这个取证大师的试用版

然后坑点来了：这个玩意会写入注册表，让人在90天后无法白嫖，只能用个本地时间锁来卡住激活(如果一开始意识到这件事的话就可以用Revo来监测注册表从而实现每次使用后完全删除，一直保持住试用期)

ok，这第一步的大坑讲完了，现在我们来一把梭

添加案例，磁盘选择这个vmem，然后选数据恢复，选这个文件，在左边的过滤搜密码，即可得到右边的答案，双击即可打开

得到密码6s4mxkhvge

0x02 Keepass破解

下载Keepass，输入主密钥6s4mxkhvge得到一个main_key，是XLlArBkn

于是我们接着做题，注意到回收站有个kgb_key，提示我们有个软件叫KGB_Archiver

那么我们下载并安装，然后点击Keepass上面的Entry，里面有个保存additional file，取出kge。

然后我们接着复现：双击打开，输入密码，然后我们点next解压这个压缩包；

0x03 BitLocker解密

找到题解中的那个软件，我们下载然后解密。不过取证大师好像也能干这事，先不管了。

我们先装载这个vhdx文件，然后提示BitLocker加密。

我们得到了key!

294173-189123-573023-455081-459382-434610-344091-286275

然后我们来解密：

0x04 透明图片

自解压改名，flag.png

然而双击看不出来flag，应该是透明的

得到我们的flag

flag{700cf8df-0444-46a4-afd2-22dcce208a67}

0x05 感想

取证大师太难找了