Задача из форензиики.
Дан файл memdump, это образ памяти

Описание таска:
Оно же является небольшой подсказкой. Надо искать графические редакторы, просмотрщики картинок и тому подобное.
Приступим, для работы с памятью нам поможет замечательный инструмент - volatility2/3

GitHub - volatilityfoundation/volatility: An advanced memory forensics framework

An advanced memory forensics framework. Contribute to volatilityfoundation/volatility development by creating an account on GitHub.

github.comКонкретно в данном таске я использовал вторую версию.
Смотрим информацию об образе -
Видим что используется Win7SP1x86, подключаем данный профиль и смотрим список процессов

Bash:


Меня заинтересовал процесс mspaint.exe с PID'ом - 3600

Сделаем дамп данного процесса:

Bash:


На выходе получим RAW (сырой слепок процесса из памяти) данные.
Т.к. в описание сказано про картинку, нам понадобится GIMP - GIMP
Открываем как RAW image data



Нам придется поиграться с разрешением изображения, а также смещением (offset)
Находим нашего котика и флаг



До новых встреч!