今天遇到一条内存取证题，
Advertising for Marriage：someone want a girlfriend.....
在dump文件中有notepad.exe和mspaint.exe两个进程，
在notepad中找到
Text:
hint:????needmoneyandgirlfirend

在mspaint的dump中解出图片


之后就毫无头绪。有什么可供参考的意见？

对了，还有解出一定这个：

图像隐写？

我们整个ctf群呀？HiPDA·NG

回复3#xfygx


内存里读出来的图像，应该不是隐写。

binwalk扫图片没？HiPDA·NG

放大看 图片上的蓝点点好可疑

回复6#bt4h


root@kali:~/CTF# binwalk file.None.0x8213c1e0.dat

DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
0 0x0 PNG image, 287 x 170, 8-bit/color RGBA, non-interlaced
41 0x29 Zlib compressed data, default compression

这样是有隐藏了文件吗？

回复8#euzen
感觉是啊有文件的啊 iOS fly ~

回复8#euzen

后面压缩文件？HiPDA·NG

zlib可以解的，用zlib_decompress。