1.獲取admin用戶密碼是多少？

這里我們使用hashdump之后用john爆破沒有結果，然后使用lsadump出來了flag

2.獲取ip和主機名是什么？

主機名： 看注冊表 SAM：記錄了所有的用戶 SYSTEM：可以看主機名 SOFTWARE：隱藏的用戶，這里看到最后也可以看到主機名

可以看到本機ip地址是192.168.85.129

flag{192.168.85.129--WIN-9FBAEH4UV8C}

3.獲取桌面上的flag.txt文件的內容是什么？

flag{180d163ca48c793cb0db74fb96d6a882}

4.服務器存在一個挖礦病毒，礦池地址是？

查看網絡連接情況，然后 可以看到54.36.109.161：2222比較可疑，懷疑是挖礦地址，然后它的pid是2588，記下來，可能用到，它的服務名是svchost.exe這個本身是系統的進程服務名，偽裝了

flag{54.36.109.161:2222}

5.惡意代碼在系統中注冊了服務，服務名是什么？

惡意代碼就是上一個的礦池地址，通過礦池地址去找進程名，使用svcscan，來看進程和子進程的名 我們先看一個2588這個挖礦進程下的字進程，然后都記錄下來，2588和3036

然后我們來使用svcscan來查看服務，因為題目要的是注冊了什么服務，我們看到最后的一個pid是3036，是挖礦地址的pid，這個就是惡意注冊的服務類

這里知道了惡意服務的服務名為flag{VMnetDHCP}

6.獲取惡意代碼進程名pid

以上兩個題目可以知道一個是2588一個是3036 flag{2588，3036}

7.病毒在自我刪除時執行的命令是什么？ 這里我們要找病毒再自我刪除執行的命令，那么我們就需要去看病毒的源碼，我們memdump下來loader這個進程

flag{ /c @ping -n 15 127.0.0.1&del}