磁盘取证

encrypt.vmdk

使用 7zip 可以直接打开

image.png
image.png

在 winhex 里面找到了一部分 flag

image.png
image.png

用 VeraCrypt 挂载 0.fat,选中一个盘符,选择好文件,加载即可

image.png
image.png

会要求密码,题目给了,rctf

image.png
image.png

挂载成功

image.png
image.png

打开有个 password.txt 给了另外一个密码

image.png
image.png

先卸载,再用这个密码挂载上,这次打不开

image.png
image.png

用 winhex 打开硬盘(winhex 管理员方式打开)文件系统是 FAT32

image.png
image.png
image.png
image.png
image.png
image.png

随便翻翻找到后半段 flag

知识点:VeraCrypt 可以使用密码挂载磁盘
使用不同密码挂载显示的不一样

内存取证

easy_dump.img

首先 vol -f easy_dump.img imageinfo 查看基本信息

image.png
image.png

然后找一下进程 vol.py -f easy_dump.img --profile=Win7SP1x64 pstree
发现有 notepad,考虑会不会写在 notepad 里面了,使用 memdump 把 notepad 的内存保存出来
vol.py -f easy_dump.img --profile=Win7SP1x64 memdump -p 2616 -D ./

strings -e l 2616.dmp | grep flag
按照字符大小和顺序排序,发现假的 flag 给了个提示,说放在了一个 jpg 里面了

image.png
image.png

搜索图片 vol.py -f easy_dump.img --profile=Win7SP1x64 filescan | grep -E 'png|jpg'
并保存 vol.py -f easy_dump.img --profile=Win7SP1x64 dumpfiles -Q 0x000000002408c460 -D ./

image.png
image.png

然后用 foremost 分离文件,找到一个压缩包,里面是 message.img,使用 file 检查一下发现是个 linux 下的 ext2 磁盘

image.png
image.png

使用 mount 挂载,打开有个 hint.txt 里面是些坐标使用 gnuplot 画出来,扫码结果是
Here is the vigenere key: aeolus, but i deleted the encrypted message。

image.png
image.png

ls -al 逛逛,发现了 .swp 文件,使用 vim -r 读取

image.png
image.png

内容是:yise!dmsx_tthv_aar_didvi

image.png
image.png
image.png
image.png

知识点:volatility 使用
.swp 读取(vim -r)

memdump.zip+disk.zip

首先使用 FTK 挂载磁盘

image.png
image.png

注意选择挂载方法可写那个

image.png
image.png

挂载完成之后可以看到多了几个盘符

image.png
image.png

逛一逛,要求仿真打开

image.png
image.png

使用 FTK 的 create disk image 转换格式为 img

image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png

空着就行

image.png
image.png

注意改成 0
以及目标位置要是 C 盘

image.png
image.png

等生成完了把后缀名改为 img,再用 V2V 转换为 vmdk 格式

image.png
image.png
image.png
image.png
image.png
image.png

然后打开 vmware,新建虚拟机,选择使用现有的虚拟磁盘

image.png
image.png

开机就可以啦

image.png
image.png

但是都有密码,进不去,转过头来分析一下内存文件,volatility 插件 mimikatz 获取密码
XiaoMing::xiaoming_handsome

image.png
image.png

登录成功,桌面上便签重叠了,藏了一个,以及 F 盘用了 bitlocker 加密

image.png
image.png

首先使用 EFDD 来获取恢复密钥

image.png
image.png
image.png
image.png

把 memdump.mem 放到虚拟机里面

image.png
image.png

然后等他跑出来

image.png
image.png
1
2
3
4
5
6
7
8
BEGIN KEYS SEARCH
Progress: 100% [ 1024  /  1024 MB]

END SEARCHING

Search result:
Algorithm:'BitLocker' (incl. 'To Go') Volume Master Key
Key data (hex): 9dc9d924d0c693aa9ec9fb9b389e2f24c96c11c231a18ea9dbd3722a6440bb9f
image.png
image.png

拿到恢复的密钥
549714-116633-006446-278597-176000-708532-618101-131406

使用 DiskGenius 解锁磁盘

image.png
image.png

用 EFDD 找到的密钥

image.png
image.png

然后打开,发现里面有个 2.pcapng,保存出来

image.png
image.png

wireshark 追踪了一个 UDP 流发现有 rar,保存出来打开,压缩包密码是开机密码 xiaoming_handsome

image.png
image.png

文档也有个密码,桌面便签写着了 xiaoming1314

知识点:
使用 FTK 转换磁盘格式为 img,使用 V2V 转换磁盘格式为 vmdk,然后使用 vmware 打开磁盘仿真
便签可以移动
EFDD 通过内存文件找到恢复密钥,然后使用 DiskGenius 解密 bitlocker

补充 PNG 相关

PNG 格式
(1)分成很多 IDAT 数据块,然后每一块里面数据是以 zlib 格式压缩的
(2)第一块 IDAT 数据块,他有一个 zlib 格式的标志,比如说 789c
(3)所以说一个图片按理来说只有一个 789c 这种标志