时隔一个多月重新学习一哈Volatility。 shawroot.hatenablog.com 题目下载 volatility imageinfo -f 文件名 查看进程： volatility psscan -f 文件名 --profile=Win7SP1x86 Volatility Foundation Volatility Framework 2.6 Offset(P) Name PID PPID PDB Tim…

题目下载 其实这道题仔细发现，不是base16就是base32要么就是base64。 稍微考察了下base16/32/64的基本特征，另外文档很大，打开很容易未响应，需要拿脚本解码。 base16就是十六进制 base32只由大写字母+数字组成 base64由大写字母+小写字母+数字组成，以及“…