1.现在才知道这个密码是需要仿真的,然后用他的软件,就可以看到提示。从第六题找到的工资条里面的工号。
2.说实话,我也是不知道为什么错了,明明我格式也是对的。
3.这里有个坑,忘记看下面有一个关机的时候是第二天,也就是4号了,我忘算了,服了。
4.用户痕迹里面有一个开机自启动程序的查看
5.磁盘加密,是bitlocker加密,先导出密钥,取证大师直接找到了,我们先把他导出来。( 需要跳转到源文件)然后右键加密磁盘,点击bitlocker解密,然后把密钥输入进去,然后解密完以后,然后再跑一次自动取证,然后搜索我的秘密,发现这个图片打开是个错误,题目提示是个文档,然后,把后缀改成doc,然后发现出来一串看着像base64的字符串,进行解码,得到答案。(说实话,当时自己做出来的时候,我都觉得自己厉害。)
6.说实话,这个第六题挺坑的,而且他告诉我们养成跳转到源文件的习惯,我以为这个工资,是直接就是工资条里面的工资。其实是,他们源文件所在位置下面的那个zip,那个zip点开,也确实是工资条,查看发现真实工资。还要密码,密码一般来自前面得到的密码或者工号之类的信息,然后果然发现密码是前面得到的我的秘密。
7.看了别人的wp发现是需要仿真,然后再自动填充里面查看密码。害,没想到得这么玩。
8.我记得在比赛的时候我发现了一个文件里面写了两个路径,现在怎么找不到了。既然知道是照片,就去照片里面的取证结果去寻找,然后发现了1.png和2.png,所以我们都跳转到源文件看答案是说,找到了一个txt文件上面写的是第二个,不过我再查看第二个的时候说他的签名是坏的,所以我用010看了一下,发现了银行卡号。在比赛的时候我直接搜索然后推广id的数字,然后出现一个txt,然后打开,直接发现路径。
9.搜索的时候有一个老秘密,容易有误解,还写了建行卡号,其实不是(虽然我当时,啥都没找到,但是学会了要查看最近打开的项目,很可能,有想不到的),第八题那个才是。
9.看别人的wp发现是要用2.png作为密钥挂载之前找到的容器储存那个dd,我只能说很神奇。(这一步的时候记得要用veracrypt的时候记得勾上truecrypt),打开发现里面有个重要信息,这个和前面的题目相呼应了,把之前找到的两串一起解密,就可以了。还得到了一个npbk,上网搜了发现是要用模拟器打开的。到现在还没有找到,决定跑一次深度恢复,然后再自动取证。也没有找到,啊啊啊啊啊啊啊啊,看了题解,发现,原来这种挂载的磁盘也是可以进行数据分析的,所以直接用介质取证的软件跑了一次,不知道为什么我不能直接看到隐藏文件,然后直接开了一个新的案例,用取证大师分析了这个盘,然后果然找到了。
421
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
