解压出来两个文件，一个是镜像文件另一个不知道

先查看镜像文件

vol.py -f '/home/kali/Desktop/forensics.raw' imageinfo

再查看进程，发现有个cmd的程序

vol.py -f '/home/kali/Desktop/forensics.raw' --profile=Win7SP1x64 pslist

进行查看，有段密码，后面应该有用

vol.py -f '/home/kali/Desktop/forensics.raw' --profile=Win7SP1x64 cmdscan

再查找关键字信息

vol.py -f '/home/kali/Desktop/forensics.raw' --profile=Win7SP1x64 filescan | grep "zip\|jpg\|txt\|flag|ctf"

只有两个文件可以提取

先创建目录，再提取有用文件

mkdir 111

vol.py -f '/home/kali/Desktop/forensics.raw' --profile=Win7SP1x64 dumpfiles -Q 0x000000007f2b88b0 -D ./111

vol.py -f '/home/kali/Desktop/forensics.raw' --profile=Win7SP1x64 dumpfiles -Q 0x000000007e7434a0 -D ./111

后面改一下格式即可

zip文件需要密码，前面CMD进程的密码

一个文本文件

hint.txt文件

提示：

进行查找是一个压缩卷解密工具，ok了很清晰了，说明unkown是一个加密的磁盘文件，userful是一个密钥进行解密

在kali里面进行挂载，得到一个压缩包

解压要密码不过有提示

用户名和主机名

主机名

ol.py -f '/home/kali/Desktop/forensics.raw' --profile=Win7SP1x64 envars | grep "COMPUTERNAME"

用户名

ol.py -f '/home/kali/Desktop/forensics.raw' --profile=Win7SP1x64 hashdump

密码都是首字母大写，其他xiaoxie

Mario_Princess-Peach

flag