蓝帽杯2021
嫌疑人x的硬盘
先用xway打开虚拟盘
分区2被bitlocker加密,在隐藏分区中发现解密密钥
用OSFMount工具把vmdk挂本地
选择输入恢复密钥解密
Chat1.exe运行会一闪而过,用cmd运行,会输出correct fail,xlsx不知到干什么用的
查下壳,发现有壳,但不知道什么壳(官方说是vmp壳),也不会脱
抓包也抓不到数据包(官方解法是流量分析,不知道为什么我没抓到包)
X64dbg调试一下发现有反调试,运行会检测到调试器并终止执行
后来才知道了可以使用SharpOD插件
按F9跑飞,发现约有四五次中断,每到一断处搜一下字符串,在第三断处搜到了flag
flag{3c535189-2b5b-477b-b7ba-a8b7e3081415}
*CTF2021
little_trick
文件没有后缀名,16进制看一下,是vhdx虚拟盘
改后缀为.vhdx,直接挂本地
发现bitlocker盘加密
没给密码,先用xways将bitlocker镜像导出,使用Passware工具尝试爆破
爆破得到密码1234678,passware yyds
打开盘之后只发现一个txt
再用Xway扫一下,在回收站目录下发现两个pdf
wps打开大的那个pdf看到一个假flag
应该是有pdf隐写
使用pdf工具直接提取图片
得到两个图片,拼起来就是flag
还有其他方法,比如放到linux下,可以直接看到,后面的就是flag
好神奇,不知道是怎么做到的。
参考文章:
https://blog.csdn.net/SopRomeo/article/details/112802285
https://mp.weixin.qq.com/s/kbv8jjFFZNQF3RExLe2bPw