2021第五届蓝帽杯初赛取证复现1

最新推荐文章于 2024-09-07 15:33:56 发布
最新推荐文章于 2024-09-07 15:33:56 发布
阅读量2.8k 收藏 6
点赞数 2
文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51652400/article/details/124773379
版权

文章目录

写在前面

蓝🐱是本菜🐕打的第一场也是唯一一场线下,意义比较重大,去年太菜都没啥体验感,今年i春秋推出了复现服务,于是开始重温一下赛题。

嫌疑人x的硬盘

2333,今天刚学bitlocker,晚上复现就是了,有一点有缘。可惜这题后面有逆向,本杂技选手无法完成复现,就水一点前面的内容吧。

什么是bitlocker

BitLocker(直译为“位元锁”)是内置于Windows Vista及其之后系统的全磁盘加密功能,透过为整个卷(英语:Volume (computing))提供加密来保护数据。它默认在密码块链接(CBC)或XTS(英语:Disk encryption theory)模式下使用128位或256位密钥的AES加密算法。其中CBC用于每个单独的磁盘扇区,不在整个磁盘上使用。

解题思路

bitlocker恢复密钥串为8组长度为6的数字,中间-分隔,所以可以用正则表达式进行搜索,或者直接根据密钥文件特点,搜索关键字恢复密钥:。获取密钥之后就直接使用取证大师自带的bitlocker解密就可以了。

部分wp

这题一丢进取证大师就直接看到了
在这里插入图片描述
在这里插入图片描述
然后右键恢复
在这里插入图片描述
输入密钥
在这里插入图片描述
然后就重新自动取证和数据恢复
接下来逆chat1.exe即可,至于怎么逆,啥原理,我也不造2333
在这里插入图片描述
不会逆向,比较失败的复现2333

本来想同时复现两题的,但是因为环境一直有点问题没有修复好,怕又和上次一样直接咕咕一个月,就先发一篇。

计算机内存取证BitLocker恢复密钥提取还原
柳似烟的专栏
06-01 4873
在计算机取证界,经常遇到嫌疑人的目标电脑的磁盘是经过BitLocker加密的,此时通常的做法是通过某种手段(WinPmem、DumpIt、DMA PCILeech,ColdBoot等)取得目标机内存镜像,同时对目标机的磁盘做一个磁盘镜像(WinFE,WinHex,FTKImage等)。而后,对获取的内存镜像分析(MemProcFS等工具)取得BitLocker的VMK密钥,然后通过VMK密钥解密目标磁盘镜像(取证大师等工具),进而获取磁盘中的文件。
2023第七届初赛取证部分个人复盘
mo2901600657的博客
08-27 1830
答案格式:xxxx(xx)]【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?27【内存取证】分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:2000-01-11 00:00:00][答案格式:2000-01-11 00:00:00]38【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8][答题格式: xx-xx.xx.xx.xx.xx]
重装系统找回Bitlocker密钥
wudi1107的博客
07-06 4485
重装系统,我一般使用大白菜U盘系统,点击一键装机,直接联网下载14G的系统版本。这里要注意,在重装系统前,一定要确认原系统的Bitlocker保护已关闭,否则会很麻烦。
电子取证中的正则表达式(国内手机号码、BitLocker
Intents的博客
03-21 718
国内手机号码的正则表达式:[^#](86)?(#{3}[\-]?#{4})[^#]BitLocker正则表达式
【电子取证】计算机取证(第六届”“全国大学生网络安全技能大赛)
07-13
第六届”“全国大学生网络安全技能大赛
windows10 BitLocker恢复秘钥(此方法只适用于使用Microsoft账号登录系统用户)
热门推荐
m0_46794608的博客
07-16 5万+
windows10 BitLocker恢复秘钥(此方法只适用于使用Microsoft账号登录系统用户) 磁盘BitLocker加密 被锁定需要输入恢复秘钥界面,可能有以下原因: 1、对Windows核心文件的更改(系统重装) 2、对BIOS的更改 3、对TPM的更改 4、对加密卷/引导记录的更改 5、未使用正确的凭据 6、硬件配置中的更改 解决方案: 登录以下链接然后根据提示操作就可以获取秘钥。 登录到Microsoft账号. https://account.microsoft.com/devices/
2020年“创享”第一届电子数据取证线上大比武部分Writeup
啥都弄
01-26 3689
2020创享电子数据取证Writeup
【加解密篇】电子数据取证分析之特殊的自加密BitLocker解密
蘇小沐的电子数据取证博客
01-23 2211
公众号回复关键词【加解密】自动获取资源合集【蘇小沐】
【电子取证】网站取证(第六届”“全国大学生网络安全技能大赛)
07-12
在第六届“”全国大学生网络安全技能大赛中,参赛者将有机会运用这些理论知识和实践技能,解决实际的网络安全问题,展示他们在电子取证领域的专业素养。通过这样的比赛,学生们不仅可以提升自己的技术水平,也...
【电子取证】程序分析(第六届”“全国大学生网络安全技能大赛)
07-12
第六届”“全国大学生网络安全技能大赛
第六届初赛取证检材百度云链接,四个检材完整版一次性下载
08-28
”全国大学生网络安全技能大赛已连续举办六届,成为面向全国公安院校和普通高校大学生的高规格、强影响力的实战技能大赛,被誉为未来网警的“奥运会”。“”由公安部网络安全保卫局、教育部教育管理...
2021年长安电子数据取证比赛复盘完整版(wp
flyable的博客
08-29 1万+
2021年长安电子数据取证比赛复盘完整版(wp
BitLocker恢复获取密钥官方操作指南
A_991128a的博客
02-21 2万+
BitLocker恢复下面的识别密钥是不能直接用,真正的恢复密钥是一串四十多位的数字序列!!:用另一台电脑浏览器进入邮箱账号及密码,登陆进去(邮箱账号密码为需要解锁bitlocker的windos邮箱账号)点击相应电脑 查看详细信息,验证邮箱。第一个图里那个提示密钥,比如开头是7E4Dxxx,对应这里的密钥id。然后在输入框里仅输入后面 恢复密钥 那段数字就行了。回车继续启动。接下来我将给各位同学划分一张学习计划表!
正则表达式
woqiucheng
09-17 330
正则表达式其实是用来操作字符串的一些规则。 好处:正则的出现,对字符串的复杂操作变得更为简单。 特点:将对字符串操作的代码用一些符号来表示。只要使用了指定符号,就可以调用底层的代码对字符串进行操作。符号的出现,简化了代码的书写。 弊端:符号的出现虽然简化了书写,但是却降低了阅读性。 其实更多是用正则解决字符串操作的问题。 组:用小括号标示,每定义一个小括号,就是一个组,而且有自动编号
Windows11 bitlocker恢复密钥找回教程
Dotnet Technology Blog
02-28 4372
如果我们使用win11bitlocker锁定了磁盘,但是不小心忘记了密码,那就需要通过恢复密钥来找回了,如果你不知道如何找回,可以参考下面的win11bitlocker恢复密钥找回教程。
用正則表達式查找字符串
u011982711的博客
01-19 390
port=$(grep "\"" server.xml| sed 's/.*port=\"//g'| sed 's/\".*//g' )echo $port先用grep定位到哪一行,在用sed s來replace更多:http://blog.csdn.net/tp7309/article/details/51418412方法2:xx="NBA"expr $xx : '.*\(.*\).*'
详解BitLocker模式及加密数据和解密方法及无法访问解决之道
最新发布
大IT职男日志
09-07 4429
有时候我们会遇到BitLocker加密数据无法访问的情况,这时候就需要我们“对症下药”,恢复这些无法访问的数据。3. 如果页面记录了多组此机器的BitLocker恢复密钥,可以根据BitLocker恢复页面中的【恢复密钥ID (用于识别密钥):】后的第一组数据,找到网页上对应的【密钥ID】,将其后边的恢复密钥,输入到电脑上即可。3、Microsoft账户:如果您使用的是Windows 10或更高版本,并且在设置BitLocker时登录了Microsoft账户,恢复密钥可能已自动同步至您的账户中。
2023中科实数
alphabeedmun的博客
06-18 1149
有问题请私信!
第六届网络安全大赛:网站取证技术解析
资源摘要信息:"在第六届''全国大学生网络安全技能大赛中,电子取证的范畴涵盖了网站取证这一重要领域。网站取证是电子取证的一个分支,它专门针对网站遭受攻击后的数据恢复和证据搜集。这项技能对于网络安全...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

vlan103

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值