题目描述：附件下载地址： 链接：https://pan.baidu.com/s/1sAekh2mryI-Sx0WQ1C22GQ?pwd=DFTK

提取码：DFTK

请分析文件，找到隐藏其中的flag，注意：flag的首字母为大写

拿到的是内存镜像

直接上volatility先跑一下imageinfo

.volatility.exe -f .PC2.raw imageinfo

看着像是win7的内存镜像

加上profile看一下进程

.volatility.exe -f .PC2.raw --profile=Win7SP1x64 pstree

都是些系统进程，可疑的就是浏览器和画图

先看浏览器，跑一下iehistory

.volatility.exe -f .PC2.raw --profile=Win7SP1x64 iehistory，结果是空的

然后把mspaint dump出来 pid是11876

.volatility.exe -f .PC2.raw --profile=Win7SP1x64 memdump -p 11876 -D ./

目录下会有一个11876.dmp文件，重命名为11876.data使用gimp工具打开

GIMP是一个多平台工具，用于创建和编辑各种图像。GIMP是GNU Image Manipulation Program的首字母缩写词。

下载地址：https://mirror.nju.edu.cn/gimp/gimp/v2.10/windows/gimp-2.10.38-setup.exe

打开图像

看着会很奇怪，调一下分辨率我这里选择了大多数电脑默认的1920*1080，随后调整位移

发现了屏幕但是是灰色的，可以调整图像类型进行测试

我这里调成了RGB565小端，变成了彩色，但是很不幸flag被挡住了

在状态栏看到了画布的尺寸是1152*648像素

在之前的位移也看到了貌似flag的画面

但是很模糊，尝试调整分辨率为画布尺寸1152*648像素，调整位移，找到flag

结合题目要求，答案为：{Congratulation_you_find_the_flag}

原文始发于微信公众号（XiAnG学安全）：利用volatility与Gimp实现Windows内存画图取证文件分析