CTF-SHOW-摆烂杯-电子取证

🍬 博主介绍
 
博主介绍：大家好，我是 Mikey ，很高兴认识大家~
主攻：【应急响应】 【python】 【数字取证】【单机取证】【流量分析】【MISC】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步
作者水平有限，欢迎各位大佬指点，相互学习进步！

题目链接：ctf.show

JiaJia-CP-1

题目：

1.佳佳的电脑用户名叫什么(即C:\Users{name})

2.最后一次运行计算器的时间？(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)

查看一波镜像版本
volatility -f JiaJia_Co.raw imageinfo

根据题目提示说filescan Users

volatility -f JiaJia_Co.raw --profile=Win7SP1x64 filescan | grep Users

发现用户名是JiaJia

flag为flag{JiaJia}

最后一次运行计算器的时间，我们可以使用timeliner插件搜集系统的活动信息，把得到的存到txt里
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 timeliner >time.txt

查看一下计算器的英文单词

然后去time.txt里搜一下

还要转化成东八区时间
+0000是国际时间，+8000是东八区时间，在国际时间加上8小时为北京时间
2021-12-10_20:15:47

flag为flag{2021-12-10_20:15:47}

JiaJia-CP-2

题目：

1.佳佳在公司使用了一款聊天软件，请问此软件的版本号为?

2.佳佳在网页上登录了自己的邮箱，请问佳佳的邮箱是？

一般软件都会在桌面上有快捷方式啥的，找下Desktop

volatility -f JiaJia_Co.raw --profile=Win7SP1x64 filescan | grep Desktop

可以看到有个Telegram.exe 电报

导出数据
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000013fde26a0 -D ./

导出去无法查看版本，因为是应用程序

把文件的后缀换成exe就可以看产品版本了

flag为flag{3.3.0.0}

邮箱一般都是网页登录，直接查看浏览器历史

volatility -f JiaJia_Co.raw --profile=Win7SP1x64 iehistory

发现没有什么显示

再试下获取屏幕截图
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 screenshot --dump-dir ./

发现有一张里面有邮箱

flag为flag{2492853776@163.com}

JiaJia-CP-3

题目：

1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)

2.佳佳解压了从chrome下载了一个压缩文件，此文件的相关内容信息已经写入了到环境中，请问文件的内容是？

第一问跟第一题的计算器一样

第二个要用到显示环境变量的指令envars
依然是存到txt里方便查找

volatility -f JiaJia_Co.raw --profile=Win7SP1x64 envars > envars.txt

直接找zip、rar之类的

flag{Th1s_i5_Ur_P5wd}