OtterCTF 4-5

4.NameGame

We know that the account was logged in to a channel called Lunar-3. what isthe account name?（我们知道该账户登录了一个名为Lunar-3的频道。什么是账户名称？）

• 方法一

strings qz.vmem | grep "Lunar-3" -C 5

• -C<显示行数> 或 --context=<显示行数>或-<显示行数> : 除了显示符合样式的那一行之外，并显示该行之前后的内容。

方法二

strings qz.vmem | grep Lunar-3 -A 5 -B 5

• -A<显示行数> 或 --after-context=<显示行数> : 除了显示符合范本样式的那一列之外，并显示该行之后的内容。

• -B<显示行数> 或 --before-context=<显示行数> : 除了显示符合样式的那一行之外，并显示该行之前的内容。

CTF{0tt3r8r33z3}

5.NameGame2

From a little research we found that the username of the logged on characteris always after this signature: 0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} What’s rick’s character’s name?（通过一点研究，我们发现，登录的字符的用户名总是在这个签名之后。0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} 瑞克的角色叫什么名字？

volatility -f qz.vmem --profile=Win7SP1x64 memdump -p 708 -D ./ 

先将LunarMS.exe dump出来 然后进一步分析

先将LunarMS.exe dump出来 然后进一步分析

进行搜索 或者放到WinHex里面找也可以

CTF{M0rtyL0L}