2018护网杯——easy_dump

题目：

链接: https://pan.baidu.com/s/1IdhDQAv02nAz0H211BoVgA 提取码: axgp

做题时看到下载下来的600m，懵逼中，看到是img镜像文件当然想到的是利用diskgenuis恢复文件找特别文件再进行解密。

一直做不出，是我想的太简单了，昨天看了大佬写的wp，满怀敬佩的心复现一下

参考i春秋大佬：lem0n

 

实验用到的工具：

kali 渗透测试系统

easy_dump.img 内存镜像

Volatility Framework 内存取证工具

TestDisk 文件恢复工具

Volatility Framework：

volatility 框架是一款用于易失性内存取证的重量级框架。在该框架下我们可以完成许多取证的操作，获取我们想取得的信息。其支持的操作系统也非常广泛，同时支持 windows , linux, Mac OSX,甚至也支持 Android 手机使用ARM处理器的取证。因此，它也是所有网络取证爱好者的必学框架。

volatility 使用：
        volatility -f <文件名> -–profile=<配置文件> <插件> [插件参数] 
通过volatility --info获取工具所支持的profile，Address Spaces，Scanner Checks，Plugins

常用插件：
imageinfo：显示目标镜像的摘要信息，知道镜像的操作系统后，就可以在 –profile 中带上对应的操作系统
pslist：该插件列举出系统进程，但它不能检测到隐藏或者解链的进程，psscan可以
psscan：可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
pstree：以树的形式查看进程列表，和pslist一样，也无法检测隐藏或解链的进程
mendump：提取出指定进程，常用foremost 来分离里面的文件
filescan：扫描所有的文件列表
hashdump：查看当前操作系统中的 password hash，例如 Windows 的 SAM 文件内容
svcscan：扫描 Windows 的服务
connscan：查看网络连接

 利用 volatility -f easy_dump.img imageinfo查看镜像信息

 根据Suggested Profile(s)值猜测他是Win7SP1x64，所以利用--profile=Win7SP1x64

然后利用volatility -f easy_dump.img --profile=Win7SP1x64 psscan查看所有进程，通过所有进程来查看是否有可疑进程出现，进行进一步取证。

发现一个可疑进程，dumpit.exe

那就把它分离提取下来volatility -f '/root/Desktop/easy_dump.img' --profile=Win7SP1x64 memdump -p 2500 -D ./

看下这个进程有啥隐藏文件否，发现里面有个message.img

继续分析img文件，binwalk,foremost分析提取分离其中的文件，发现一个hint.txt

一堆坐标，利用脚本或者工具gnuplot可解出一个二维码

识别结果：Here is the vigenere key: aeolus, but i deleted the encrypted message。

根据提示说用了vigenere并且key为aeolus，但是他删除了信息...

那么接下来就要用到testdisk /dev/loop0来进行文件恢复。

得到message.swp,源码得到一串密文

根据hint可知道是维吉尼亚加密，上面已得到key和密文，利用脚本进行解密即可

脚本如下

链接: https://pan.baidu.com/s/1ziHmHdSeQcVD03nbf-V4tA 提取码: 5x4w