[鹏城杯 2022]简单取证
首先是关于volatility工具的安装和使用
嗯,很麻烦,很恶心,
吐槽完毕,开始复现
首先查看镜像信息
python2 vol.py -f /var/run/vmblock-fuse/blockdir/pXGAJ3/file.raw imageinfo
发现了系统信息,开始--profile=WinXPSP2x86
查看浏览信息
python2 vol.py -f /var/run/vmblock-fuse/blockdir/pXGAJ3/file.raw --profile=WinXPSP2x86 iehistory
发现了个东西
查看文件信息
下载到桌面
查看cmd进程
发现了一个密码,还不知道干啥用的,先留着
看一眼出来的文件
嗯,是base64应该是,但是不知道是什么文件,试了一下图片,没成,然后去查了一下,发现base64还能转成zip压缩包
搜了一下脚本,是一个加密的压缩文件,套上原来的密码,成了
出来了一堆坐标的东西
走二维码
扫描
[湖湘杯 2021]某取证题
先imageinfo
再filescan
注意
filescan出来的文件是被载入内存的,有些没载入内存的哪怕被列了出来也是无用的
先iehistory发现了一些可疑的图片
用filescan | filestr /i jpg进行筛选
导出来发现一个flag的后半段
导出照片的时候用的虚拟地址是前面0x一坨的那个
然后pslist看进程
有一个wireshark的进程有点可疑(windows下一般第三列是PID号)
导出进程的内存信息
拖入kali里面
foremost一下
zip里面有东西
然后echo出明文文件
破解密钥
密钥要解好久(应该十几分钟就欧克,但是中间我把虚拟机待机了好多次)
解密压缩包内的文件
然后用bkcrack自带的inflate.py解密
3117
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
