磁盘取证
encrypt.vmdk
使用 7zip 可以直接打开
在 winhex 里面找到了一部分 flag
用 VeraCrypt 挂载 0.fat,选中一个盘符,选择好文件,加载即可
会要求密码,题目给了,rctf
挂载成功
打开有个 password.txt 给了另外一个密码
先卸载,再用这个密码挂载上,这次打不开
用 winhex 打开硬盘(winhex 管理员方式打开)文件系统是 FAT32
随便翻翻找到后半段 flag
知识点:VeraCrypt 可以使用密码挂载磁盘
使用不同密码挂载显示的不一样
内存取证
easy_dump.img
首先 vol -f easy_dump.img imageinfo 查看基本信息
然后找一下进程 vol.py -f easy_dump.img --profile=Win7SP1x64 pstree
发现有 notepad,考虑会不会写在 notepad 里面了,使用 memdump 把 notepad 的内存保存出来vol.py -f easy_dump.img --profile=Win7SP1x64 memdump -p 2616 -D ./
strings -e l 2616.dmp | grep flag
按照字符大小和顺序排序,发现假的 flag 给了个提示,说放在了一个 jpg 里面了
搜索图片 vol.py -f easy_dump.img --profile=Win7SP1x64 filescan | grep -E 'png|jpg'
并保存 vol.py -f easy_dump.img --profile=Win7SP1x64 dumpfiles -Q 0x000000002408c460 -D ./
然后用 foremost 分离文件,找到一个压缩包,里面是 message.img,使用 file 检查一下发现是个 linux 下的 ext2 磁盘
使用 mount 挂载,打开有个 hint.txt 里面是些坐标使用 gnuplot 画出来,扫码结果是
Here is the vigenere key: aeolus, but i deleted the encrypted message。
ls -al 逛逛,发现了 .swp 文件,使用 vim -r 读取
内容是:yise!dmsx_tthv_aar_didvi
知识点:volatility 使用
.swp 读取(vim -r)
memdump.zip+disk.zip
首先使用 FTK 挂载磁盘
注意选择挂载方法可写那个
挂载完成之后可以看到多了几个盘符
逛一逛,要求仿真打开
使用 FTK 的 create disk image 转换格式为 img
空着就行
注意改成 0
以及目标位置要是 C 盘
等生成完了把后缀名改为 img,再用 V2V 转换为 vmdk 格式
然后打开 vmware,新建虚拟机,选择使用现有的虚拟磁盘
开机就可以啦
但是都有密码,进不去,转过头来分析一下内存文件,volatility 插件 mimikatz 获取密码XiaoMing::xiaoming_handsome
登录成功,桌面上便签重叠了,藏了一个,以及 F 盘用了 bitlocker 加密
首先使用 EFDD 来获取恢复密钥
把 memdump.mem 放到虚拟机里面
然后等他跑出来
1 | BEGIN KEYS SEARCH |
拿到恢复的密钥
549714-116633-006446-278597-176000-708532-618101-131406
使用 DiskGenius 解锁磁盘
用 EFDD 找到的密钥
然后打开,发现里面有个 2.pcapng,保存出来
wireshark 追踪了一个 UDP 流发现有 rar,保存出来打开,压缩包密码是开机密码 xiaoming_handsome
文档也有个密码,桌面便签写着了 xiaoming1314
知识点:
使用 FTK 转换磁盘格式为 img,使用 V2V 转换磁盘格式为 vmdk,然后使用 vmware 打开磁盘仿真
便签可以移动
EFDD 通过内存文件找到恢复密钥,然后使用 DiskGenius 解密 bitlocker
补充 PNG 相关
PNG 格式
(1)分成很多 IDAT 数据块,然后每一块里面数据是以 zlib 格式压缩的
(2)第一块 IDAT 数据块,他有一个 zlib 格式的标志,比如说 789c
(3)所以说一个图片按理来说只有一个 789c 这种标志