[鹏城杯 2022]简单取证
题目描述什么提示都没给,先vol
imageinfo查看版本信息
pslist没发现什么有效信息
filescan 开搜 有个secret.jpg有些可疑
dumpfiles -Q 进程号 -D 保存地址
改个后缀放010里瞅一眼发现是base64
解码出来发现没什么逻辑,但是拖到最下面不难发现是一个逆序的压缩包
保存文件逆序他
f1 = open(r"C:\Users\abc\Desktop\download.txt", 'rb')
f2 = open('C:/Users/abc/Desktop/1.zip', 'wb') #绝对路径,反斜杠
f2.write(f1.read()[::-1])
f1.close()
f2.close()
得到压缩包打开发现需要密码
回到vol cmdscan得到password
解压得到flag.txt,长这样的是坐标绘图(我也是才知道)
这种坐标绘图需要用到一个工具gnuplot homepage官网下载
安装完成之后把写有坐标的flag.txt拖入bin文件夹中,启动gnuplot.exe
plot 'flag.txt'即可完成绘图,扫描获得flag
[网刃杯 2022]玩坏的winxp
MAGENT AXIOM,刚刚接触到这个取证工具
强而有力!真是强而有力!
先从文件入手,在Administrator用户的桌面发现了这么几张图片,最下面这张meiren.png 一看就不对,文件大小也特别的大
文件导出后放到010分析发现其中果然隐藏了压缩包
kali foremost 提取文件并解压得到f1ag.png,上书flag?not here!
被骗了,但没完全被骗,010继续分析f1ag.png发现其中还隐藏有压缩包
接着foremost提取,发现提取出的压缩包需要密码,winrar可以看到压缩包注释
密码容易忘,所以就放在某个戴围脖的软件上了(猜测为QQ)
回到取证,AXIOM可以分析镜像中的所有程序,我这里有些重复,程序数量很少,只能从firefox入手
既然是浏览器,就分析web相关,不难发现有firefox访问QQ的记录,并获得一个QQ号
搜索这个QQ号并访问他的空间,左下角一串MD5瞩目
CMOD5 查询,得到密码xiaomin520
用该密码打开压缩包获得flag
flag{this_is_what_u_want8}
如果使用DiskGenius挂载镜像打开,其他步骤不变,但是需要自己找到firefox使用记录的sql记录
[巅峰极客 2022]easy_Forensic
不知道为什么raw内存镜像用AXIOM文件系统没东西,但分析依旧可以直观得看到很多信息
这里可以看到gift.zip hint.txt gift.jpg flag.txt 截屏外还有wechat.txt
AXIOM拿不到就回到vol,剩下了用filescan一个个找的时间,直接定位并dumpfiles
gift.jpg打开之后可以发现图片高度被修改,重新修改高度后得到gift.zip的密码
解压git.zip发现里面的内容base解不了
hint.txt根本dump不下来,wechat.txt dump下来是乱码,flag.txt scan不到
看其他师傅的WP知道微信数据库加密
可以看这篇文章: 关于微信数据库的解密以及取证 - 跳跳糖
用GitHub上的脚本解密 : https://github.com/x1hy9/WeChatUserDB
下载解压完后,将wechat.txt改后缀为wecaht.db并放入WIN_WECHAT_DB文件夹中
运行main脚本并输入版本和密码解密微信数据库
解密结果会输出在DECREPT_WIN_WECHAT_DB文件夹中
将生成的deccrept_wechat.db用SQLite打开,在session表下找到flag
flag{The_Is_Y0ur_prize}