CTFshow电子取证——内存取证2

接上回

JiaJia-CP-2

2.佳佳在网页上登录了自己的邮箱，请问佳佳的邮箱是？

因为是在网页上登陆的邮箱

用iehistory插件 查看一下网页历史记录

为了方便分析，使用grep命令正则匹配一下 *@*com 的记录

vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 iehistory | grep ".*@.*com"

查看并没有发现什么可用的结果

看了一下别人的wp

需要获取屏幕截图（好思路 拿本本记下来）

用 screenshot 插件，获取保存基于GDI窗口的伪截屏

screenshot插件用于获取被分析系统的屏幕截图。这个插件可以帮助取证分析人员捕捉被分析系统的图像，并且能够识别和提取被截取图像中的关键信息。

使用screenshot插件可以有以下几个应用场景：

    用户活动监控：通过捕获屏幕截图，分析人员可以了解用户在系统上的活动，例如他们打开的文件、所处的应用程序或浏览的网页。这些信息对于了解系统的使用模式和用户行为非常有帮助。
    发现恶意软件行为：通过截取系统中运行恶意软件时的屏幕截图，分析人员可以深入了解恶意软件的行为和功能。这有助于确定该恶意软件可能所做的事情，例如可能修改的界面、创建的弹出窗口或其他可疑活动。
    检查系统状态：屏幕截图可以提供系统在特定时间点的状态快照。例如，当系统遭遇意外关机时，屏幕截图可以显示断开的会话、打开的文件或其他有关系统状态的关键信息。

使用screenshot插件获取屏幕截图，-D参数指定输出的保存路径

使用这个插件的时候 出现之前同样问题

提醒我没装PIL

同样用pip2就能解决

获取了很多张

只有一张是有内容的

a2492853776@163.com

ctfshow{3.3.0.0_a2492853776@163.com}——>ctfshow{f1420b5294237f453b7cc0951014e45a}

JiaJia-CP-3

问题

1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)

2.佳佳解压了从chrome下载了一个压缩文件，此文件的相关内容信息已经写入了到环境中，请问文件的内容是？

思路

在上次的UserAssist里面继续找找到固定在任务栏的google chrome进程

佳佳将一个压缩文件的相关内容信息写入到了环境中，则查看所有进程的环境变量获取就可以获取到我们想要的信息

实现过程

打印的注册表里面找到了两个关于Chrome的进程

 %APPDATA%\Microsoft\Internet Explorer\ouick Launch\User Pinned\TaskBar Google chrome.lnk

2021-12-10 12:21:36 UTC+0000

这个ink文件

是指 Windows 中存储用户钉在任务栏的 Google Chrome 快捷方式的位置。它包含在用户特定的“快速启动”文件夹中，该文件夹通常位于用户的个人文件夹下的一个隐藏目录中。

Google Chrome.lnk 是指向 Google Chrome 浏览器的快捷方式文件

符合题目要求最后一次运行固定在任务栏的进程

但是把时间＋8提交flag不对

{6D809377-6AF0-4448-8957-A3773F02200E}\Google\chrome\Application\chrome.exe

2021-12-10 12:28:43 UTC+0000

这个时间比上面那个晚

提交就对了

也可以用timeliner插件 过滤chrome

vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 timeliner | grep "chrome"

直接找到

使用 envars 插件，显示所有进程的环境变量

这里的内容太多了

看别人的wp可以把它整到txt文件里面

volatility -f JiaJia_Co.raw --profile=Win7SP1x64 envars > envars.txt

找到了

在Pid为 3396 那一个环境变量中获取了文件的相关内容信息为 Th1s_i5_Ur_P5wd

flag

ctfshow{2021-12-10_20:28:43_Th1s_i5_Ur_P5wd}->ctfshow{6430ef3578f7e1206506995cae3d2c24}

总结

总结一下这三题用到的命令 （搬运一下）

插件    解释    示例
imageinfo    查看/识别镜像信息    vol.py -f JiaJia_Co.raw imageinfo
hivelist    打印注册表配置单元列表    vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 hivelist
printkey    打印注册表项及其子项和值    vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 printkey -K "SAM\DOMAINS\Account\Users\Names"
userassist    打印注册表中UserAssist相关信息    vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 userassist
timeliner    创建内存中的各种痕迹信息的时间线    vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 timeliner
filescan    提取文件对象池信息    vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 filescan
dumpfiles    提取内存中映射或缓存的文件    vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000013dd413f0 -D ./
iehistory    重建IE缓存及访问历史记录    vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 iehistory
screenshot    基于GDI Windows的虚拟屏幕截图保存    vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 screenshot -D ./
envars    显示进程的环境变量    vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 envars

参考

【CTFshow 电子取证】 JiaJia-CP-1-2-3（图文详解）_ctf.show中jiajia-cp-1 解fllag-CSDN博客

https://www.cnblogs.com/fengyuxuan/p/16541585.html