题目提示：flag{中文}

=================================

按部就班

（1）获取内存镜像版本信息

volatility -f 文件名 imageinfo

        通过上述可知，镜像版本为Win7SP1X64。

（2）获取进程信息： volatility -f 镜像名 --profile=第一步获取的版本信息 pslist

./volatility_2.6 -f FishMemory.raw --profile=Win7SP1x64 pslist

由于题目提示flag是一段中文，通过进程信息，我们能找到相关进程wps.exe，到此猜测是不是有word或者是excel文件里面包含中午，于是尝试扫描内存中的文件，果然发现人员名单.xls，具体如下

(3)扫描内存中的文件 filescan

./volatility_2.6 -f 镜像名 --profile=操作系统信息 filescan ./volatility_2.6 -f FishMemory.raw --profile=Win7SP1x64 filescan

文件数量很多，需要根据需求进行筛选。例如

./volatility_2.6 -f FishMemory.raw --profile=Win7SP1x64 filescan | grep -E "txt\|jpg\|png"

(4) 根据内存地址，导出内存中的文件 dumpfiles：

(5)打开我们dump出的文件，具体如下，发现有密码

有密码，打不开，我们尝试查看一下历史命令

（5） 查看历史命令cmdscan，发现mysql的密码

利用上述密码尝试解密xls文件，发现有flag，但是样子很奇怪，并不满足题目要求。因此猜测还需要进行解码操作。

最后：推荐神奇的工具：随波逐流。管他什么编码，直接梭哈，找到flag.