OtterCTF

3.Play Time

Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server?（瑞克只是喜欢玩一些好的老式电子游戏，你能告诉他在玩哪个游戏吗？ 服务器的IP地址是什么？）

volatility -f qz.vmem --profile=Win7SP1x64 netscan

使用netscan查看 在这里看到 LuanrMS google发现是一款游戏 但是没有找到服务器的IP地址

volatility -f qz.vmem --profile=Win7SP1x64 netscan|grep LunarMS.exe 

使用|grep精准查找一下

CTF{LunarMS}     CTF{77.102.199.102}

4.NameGame

We know that the account was logged in to a channel called Lunar-3. what is the account name?（我们知道该账户登录了一个名为Lunar-3的频道。什么是账户名称？）

方法一

strings qz.vmem | grep "Lunar-3" -C 5

• -C<显示行数> 或 --context=<显示行数>或-<显示行数> : 除了显示符合样式的那一行之外，并显示该行之前后的内容。

• 方法二

strings qz.vmem | grep Lunar-3 -A 5 -B 5

• -A<显示行数> 或 --after-context=<显示行数> : 除了显示符合范本样式的那一列之外，并显示该行之后的内容。
• -B<显示行数> 或 --before-context=<显示行数> : 除了显示符合样式的那一行之外，并显示该行之前的内容。

CTF{0tt3r8r33z3}