# Meiyacup2024 菜鸟个人总结（一）

以下内容仅用作个人复盘以及分享参考的思路。

我已经菜得离谱了！！！这里没有好东西啦！

去打 2024 美亚线下了，今年比去年弱了好多好多，比赛结果非常非常差但是也是尽力了一坨就是一坨

比赛的时候，网断了才发现犯了非常离谱的错误，赛前明明注意到了内存取证题，但是没系统练过也没调试 volatility

python3 掉 setup.py, 然后发现网上教程有敲 python3 vol.py 的，然后我发现可以直接敲 vol

不太懂于是复盘之后 chat 了一下

事实上还发现了依赖项问题。因为我的 kali 中又有 python2 又有 python3, 总是产生一些奇奇怪怪的问题

总之以后还是多用虚拟环境吧，正好 2024 的 kali 更新规则了

# 至于赛题:

举个赛题的例子

列出 firefox 的 pid

比赛的时候不联网，个人赛时间紧迫又没法看 help。只能拿本地的 llama3.1 跑一下 vol 的命令，最后给的一堆人机指令

这里就丢了 10 分，后面还有一个解压然后开火眼即取的手机镜像题也没拿到分，太着急了可能是

这里的 20 分拿回来就是第二了，仅次于通天戴，可惜没有如果 == 难受了一整天

美亚的内存取证工具什么都出不来，火眼的连镜像都打不开，除非 vol 否则一个都跑不出来

以后一定好好复习

纪念一下自己人机级别蠢到家的指令

正确做法：

vol -f xxx.raw [plugin] -- 额外参数

for example：

vol -f RAM_Capture_David_Laptop.raw windows.info

结果：

出来了，windows 信息

那么这道题的话

vol -f RAM_Capture_David_Laptop.raw windows.pslist

或者更好的

vol -f RAM_Capture_David_Laptop.raw windows.pslist | grep "firefox.exe"

o1-pre 会给出 vol -f RAM_Capture_David_Laptop.raw pslist 这个指令，但是 vol3.x 就不行了，因为这个比赛直接炸掉了

为什么有时候大脑不转呢