取证
CTF取证
小龙_(R0 Team)
关注R0 Team公众号获取更多资源
展开
-
内存取证-手册
取证工具 : Volatility。原创 2024-07-23 19:22:59 · 1454 阅读 · 0 评论 -
[羊城杯 2021]Baby_Forenisc
发现用git命令上传了一些文件,然后把本地的文件删除了,说明信息可能在github上了。dump 出来果然是ssh 密钥 丢到base64 看纯不存在有用信息。搜索 png ,txt,jpeg 这些文件。看到了 你想要。关键词 主机 ,账号 git ,文件。cmdscan 查询一下。发现存在ssh.txt 文件。解密后发现存在 qq邮箱。app 下载下来查看一下。github 找一下。原创 2024-06-29 22:11:33 · 305 阅读 · 0 评论 -
[鹏城杯 2022]babybit
flag在ROOT\ControlSet001\Control\FVEStats里的OsvEncryptInit和OsvEncryptComplete中。使用MiTeC Windows Registry Recovery 恢复注册表。发现一个压缩包提取出来。原创 2024-06-29 22:10:59 · 336 阅读 · 0 评论 -
[湖湘杯 2021]某取证题
s: 从infile的绝对或者相对偏移量开始. + 表示相对于标 输入当前的位置 (如果不标准输入就没有意义了). – 表示从档桉末尾 (如果和 + 连用: 从标准输入当前位置) 向前数一些字符, 从那个地方开始. 如果没有 -s 选项, xxd 从当前位置开始.这里用bkcrack自带的脚本解密这个数据就可以得到原始的jpg了。导出三张图片 ,两张相同的,flag的后半段,要找前面的部分。r: 把xxd的十六进制输出内容转换回原文件的二进制内容。使用binwalk 查看 是存在很多文件的。原创 2024-06-29 22:10:23 · 285 阅读 · 0 评论 -
[OtterCTF 2018]Silly Rick
题目描述:愚蠢的里克总是忘记他的电子邮件密码,所以他使用在线存储密码服务来存储他的密码。他总是复制并粘贴密码,这样他就不会弄错。瑞克的电子邮件密码是什么?clipboard - 提取 Windows 剪贴板的内容。关键字 : 总是复制粘贴。英文不好真不知道是啥。原创 2024-06-29 22:09:47 · 198 阅读 · 0 评论 -
[OtterCTF 2018]Recovery
主机名 后面跟着一串 代码 aDOBofVYUNVnmp7。里克必须找回他的文件!用于加密文件的随机密码是什么。前面导出的3720.dmp 查找一下。恢复他的文件 ,感染的文件?原创 2024-06-29 22:09:17 · 174 阅读 · 0 评论 -
[OtterCTF 2018]Play Time
这两个很可疑 ,然后寻找ip 看是否与其中有联系。那他就是flag 了。原创 2024-06-29 22:08:38 · 263 阅读 · 0 评论 -
[OtterCTF 2018]Path To Glory
恶意软件是如何进入rick的电脑的?这一定是一种古老的非法习惯。。。如何进行pc的 ,古老的方法,: 下载文件 ,蠕虫病毒传播 ,先看下载文件但是这样 太多数据了下载文件。。。前面看见一个动画片 ,一个个dump出来查看dump 好几个 全是乱码xxd 查看也没有啥dump 这个文件的时候就没有乱码,可疑download.exe.torrent当dump 到出现了没有乱码的数据cke去测试ck 这是正确的flag 只能是这个ctf的flag 真的是傻逼。原创 2024-06-29 22:08:02 · 245 阅读 · 0 评论 -
[OtterCTF 2018]Name Game
题目描述:我们知道这个帐号登录到了一个名为Lunar-3的频道。账户名是什么?猜想:既然登陆了游戏,我们尝试直接搜索镜像中的字符串 Lunar-3。直接搜索 Lunar-3先把字符串 重定向到 txt文件里面去然后里面查找 Lunar-3查看关键字前后10行的会发现。原创 2024-06-29 22:06:56 · 270 阅读 · 0 评论 -
[OtterCTF 2018]Hide And Seek
题目描述:我们把rick的电脑内存转储是因为有恶意软件感染。请查找恶意软件进程名称(包括扩展名)vmware-tray.exe 是flag值 ,不像的变成病毒文件了。BitTorrent.exe bt种子 (可疑)只有三次尝试才能得到正确的旗帜!Rick And Morty 是一个动画片。但是经过测试 flag。pstree 列出进程。原创 2024-06-29 22:06:25 · 136 阅读 · 0 评论 -
[OtterCTF 2018]Graphic‘s For The Weak
使用procdump转存进程的可执行文件 (可执行的)这里的恶意文件都是 vmware-tray.ex。导出了 ,看文件里面是否存在 图片。恶意软件的图形中有些可疑之处。在使用分解的时候 就是有毒的。使用foremost分解。可以看到存在很多文件夹。原创 2024-06-29 22:05:54 · 206 阅读 · 0 评论 -
[OtterCTF 2018]General Info
要求查找ip 和主机名。查看 hivelist。原创 2024-06-29 22:05:23 · 217 阅读 · 0 评论 -
[OtterCTF 2018]Closure
已知这个勒索软件为HiddenTear,直接在网上找到解密程序HiddenTearDecrypter。先将加密文件的末尾多余的0去掉,再把后缀加上locked。既然你从内存中提取了密码,你能解密rick的文件吗?密码是知道了,加密文件?这里没有这个软件直接贴图。上面题目的图片也提示了。原创 2024-06-29 22:04:48 · 180 阅读 · 0 评论 -
[OtterCTF 2018]Bit 4 Bit
提示我们查看程序获得更多信息(就是上面的vmware-tray.exe)我们已经发现这个恶意软件是一个勒索软件。查找攻击者的比特币地址。勒索软件总喜欢把勒索标志丢在显眼的地方,所以搜索桌面的记录。根据提示是勒索病毒 (ransomware)flag 好像没有啥 乱码。阅读程序了解更多信息。阅读程序了解更多信息。原创 2024-06-29 22:04:06 · 244 阅读 · 0 评论