## More Deeper (100 Points)

### Enoncé
```
Pouvez-vous voir ce qui est écrit dans le bloc-notes?
(Utilisez le fichier téléchargé depuis Au fond de mon esprit)
```

### Solution

En utilisant `Volatility`, nous pouvons extraire les vidages de mémoire en spécifiant le `PID`. Pour trouver le processus, nous pouvons utiliser `pslist` qui affiche la liste des processus .

Nous pouvons voir dans les résultats que le PID est « 628 ».

Ensuite, nous pouvons utiliser `memdump` pour vider la mémoire du processus dans `628.dmp`.

Et enfin, nous pouvons rechercher dans le fichier `.dmp` en utilisant `strings`

Avec strings nous trouvons le flag .

## Flag : `CYBERTF{D33P3R_TH4N_TH3_M4R14NN4_TR3NCH}`