{做题软件Lovelymem}
JiaJia-CP-1
1.佳佳的电脑用户名叫什么(即C:\Users\{name})
2.最后一次运行计算器的时间?(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)
flag样式:用MD5加密ctfshow{ljj_2021-12-12_07:13:26}
文件地址:https://pan.baidu.com/s/1hVFPJhU8B4g8Kyy0ssDSLw?pwd=show
直接筛选 filescan | grep user 找关于用户的命令
使用hivelist插件,打印注册表配置单元列表也可以
查看用户是最简单的
timeliner命令用来查看创建内存的各种痕迹还有时间线
过滤计算器
timeliner | grep calc.exe
时间信息:2021-12-10 12:15:47
windows和linux时间差8个小时
正确时间应该是2021-12-10 20:15:47
flag{JiaJia_2021-12-10_20:15:47}MD5加密套壳ctfshow{079249e3fc743bc2d0789f224e451ffd}
JiaJia-CP-2
1.佳佳在公司使用了一款聊天软件,请问此软件的版本号为?
2.佳佳在网页上登录了自己的邮箱,请问佳佳的邮箱是?
vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 filescan
聊天软件:Telegram.exe
直接筛选进程Telegram.exe
然后再导出进程把名字改回去Telegram.exe
聊天软件 版本号:Telegram.exe 3.3.0.0
下一步找邮箱:
iehistory找不到
vol.py -f 'JiaJia_Co.raw' --profile=Win7SP1x64 iehistory | grep ".*@.*com"
调用screenshot插件:用于获取被分析系统的屏幕截图。这个插件可以帮助取证分析人员捕捉被分析系统的图像,并且能够识别和提取被截取图像中的关键信息
vol.py -f 'JiaJia_Co.raw' --profile=Win7SP1x64 screenshot -D ./
3.3.0.0_a2492853776@163.com
ctfshow{f1420b5294237f453b7cc0951014e45a}
JiaJia-CP-3
1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)
2.佳佳解压了从chrome下载了一个压缩文件,此文件的相关内容信息已经写入了到环境中,请问文件的内容是?
有两个Google都留意一下(时间都需要+8)
2021-12-10 12:21:36
第二问和环境变量有关系
时间加上信息内容2021-12-10_20:28:43_Th1s_i5_Ur_P5wd
ctfshow{ 6430ef3578f7e1206506995cae3d2c24}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
