翻譯:Powershell腳本由惡意程序執行。包含power shellscript內容的注冊表項是什么？

題目要求找到powershell執行的腳本儲存的注冊表地址

使用到工具 volatility、Windows Registry Recovery

解題過程

使用工具volatility。 volatility工具的安裝文章我也寫了,不了解的可以看看

首先查看鏡像的系統信息，得到版本是Win7SP1x64

volatility_2.6_win64_standalone.exe -f .\memory.dmp imageinfo

根據題目的文字說明，涉及修改的注冊表，于是將鏡像的注冊表項導出進行查看。

volatility_2.6_win64_standalone.exe -f memory.dmp --profile=Win7SP1x64 dumpregistry --dump-dir ./

對于注冊表，使用工具Windows Registry Recovery進行查看。

翻看 SOFTWARE 的敏感目錄 \Microsoft\Windows ，在communication處發現惡意注冊表
最終flag： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Communication

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的强网杯2021 BlueTeaming (内存取证)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。