作者:Swback
知乎:https://www.zhihu.com/people/back-88-87
CSDN:https://blog.csdn.net/qq_30817059
技术交流Q群:768493664
#查看profile
volatility -f easy_dump.img imageinfo
# 查看进程 发现notepad.exe
volatility -f easy_dump.img --profile=Win7SP1x64 pslist
# 查找文本文档 并未发现有用信息
#查找常见文件 发现一张图片
volatility -f easy_dump.img --profile=Win7SP1x64 filescan |grep "txt\|png\|gif\|jpg\|jpeg\|zip\|rar\|7z\|Downloads\|Desktop"
#导出之后,发现图片存在异常
binwalk file.None.0xfffffa8008355410.vacb
#通过binwalk -e 分理出一个压缩包和img镜像
#通过md5比对,压缩包内的文件就是img文件
#通过文本文档打开发现里面还有内容 应该还有一个hint.txt 和.message.swp
#接着通过binwalk -e 分离文件 得到0.ext(这个文件和上述图片内容一样) 和一个文件夹
binwalk -e message.img
#在文件夹中发现hint.txt和一个隐藏文件夹 打开hint.txt内容应该是坐标
#通过python 将坐标转化为图片
import matplotlib.pyplot as plt
import numpy as np
x = []
y = []
with open('hint.txt','r') as f:
datas = f.readlines()
for data in datas:
arr = data.split(' ')
x.append(int(arr[0]))
y.append(int(arr[1]))
plt.plot(x,y,'ks',ms=1)
plt.show()
二维码不知道为什么一直显示违规,就不放了
#识别二维码得到维吉尼亚的密钥"aeolus",现在应该找到维吉尼亚的密文。
关于.Trash文件夹的描述自行百度。
#在files文件夹下发现.message.swp
#vim打开.message.swp 是乱码
#查看下16进制字符串
strings .message.swp 最后一句应该就是维吉尼亚,通过二维码获得的密钥`aeolus`解密得到flag