Misc-被带走的机密文件
正经取证题,没有任何套娃成分,请师傅们放心食用。(附件较大。)
题目给了一个E01镜像
使用取证大师(也有不使用的方法,并且并不是完全依靠取证大师)打开自动取证先简单进行信息线索的收集
线索收集
找到了烟雾弹.zip压缩文件,压缩文件备注 密码是计算机全名
在系统信息找到了完整计算机名
解压文件,一张图片:这真的是烟雾弹 机密文件我已经带走了。
谷歌浏览器历史记录中发现搜索最多的是 open SHD file
知识点:SHD是由Windows创建的文件,当用户提交的打印作业。它存储打印作业的报头信息,但不会存储实际的后台打印文档数据。 简单点说就是打印机缓存。
根据 烟雾弹打印图片和搜索记录的线索基本可以确定下一个方向,寻找打印机缓存文件,取证大师找到打印机缓存,另存为图片
非取证大师,组合解题方案
使用FTK Imager E01镜像为本地磁盘,然后访问磁盘
在资源管理器中翻找到烟雾弹
在注册表收集能找到计算机名(也可以先不用管他)
在桌面中发现flag.txt,但是里面没有flag
在软件安装目录中发现谷歌浏览器,接下来手工解析谷歌浏览器记录,寻找线索
谷歌浏览器的配置文件在:C:\Users\xxxxx\AppData\Local\Google\Chrome\User Data\Default目录中
进入后用数据库浏览器打开里面的History文件 这个记录这浏览器历史记录等信息。
在urls表中
搜索最多的为open SHD file
找到打印机缓存文件存储目录
Printer Viewer工具可以查看打印机缓存文件,在缓存文件中发现flag。