几道内存取证题

最近复现了几道题 写出来吧

1. 2018 护网杯 -easy_dump

开局一个 img 文件 上 volatility

image-20220728200831240

image-20220728200919032

注意到 notepad 进程 导出来看看

image-20220728201006384

image-20220728201036379

提示 jpg 文件 找一下

image-20220728201103863

image-20220728201203471

分离图片得到一个压缩包 开出一个 img mount 挂载一下

image-20220728201339027

hint.txt 里一串 gnuplot 画一下 拿到二维码和内容:Here is the vigenere key: aeolus, but i deleted the encrypted message。

image-20220728201431593

image-20220728201549411

根据提示 翻一下垃圾桶

image-20220728201718219

linux swp 文件是一种后缀为“.swp”的文件,该文件是在当使用 vi 或者 vim 编辑一个文件时产生的,当编辑完成正常退出时,该文件就会自动删除;swp 文件是隐藏文件,在目录下使用“ls -al”才能查看。

swp 用vim -r** 修一下 得到密文 **yise!dmsx_tthv_arr_didvi

Vigenere 解一下得 flag

yeetjustfindandsolve


2. 2021 强网杯 BlueTeaming

Powershell scripts were executed by malicious programs. What is the registry key that contained the power shellscript content?

开局一个 dmp 文件 volatility 开梭

题目是让找注册表的一个键

从 powershell 日志下手吧 后缀一般是evtx

image-20220729213754439

image-20220729214147579

日志看一下

image-20220729222109782

发现很多混淆 应该就是这里了 复制一小段等会 ctrl f

dump 一下注册表文件

image-20220729222230113

image-20220729222255455

** 用 Windows Registry Recovery 看一下 **

在其中一份 reg 里搜索到注册表项

image-20220729222506023

至此路径已 get

flag:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Communication


3. BMZCTF 内存取证三项

开局一个 raw 文件和题目背景

一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑也不管自己在电脑上留下的操作急忙离开电脑,故作淡定的说:“我就是随便看看”。 
1.小黑写的啥,据说是flag?
2.那么问题来了,小白的密码是啥?
3.小黑发送的机密文件里面到底是什么

image-20220729225908292

两条线索 一个 cmd 一个 notepad

image-20220729230024288

提示密码是生日

image-20220729225822733

19950101

image-20220729230145244

拿到 flag3

再走 notepad 的线索

image-20220729230440796

666C61677B57336C6563306D655F376F5F466F72336E356963737D

666C6167=flag 熟悉的 16 进制 转一下

image-20220729230827683

拿到 flag1 再来搞 flag2

image-20220729231505467

1e581aafa474dfadfdf83fc31e4fd4ea

LM hash

有几个 crack 途径

  • 国外在线 crack 网站 找了几个 其中一个解出来了但是要付费查看
  • 跑彩虹表 给个站 https://ophcrack.sourceforge.io/tables.php 这道题用 XPspecial 那个表可以跑出来

其实解 flag3 的时候也给提示了 password is birthday 压缩包密码同时也是 flag2:flag{19950101}


4. 2021 强网杯 EzTime

题目背景:Forensic.Find a file that a time attribute has been modified by a program. (本题flag为非正式形式)

给了两个文件

image-20220729235031763

winhex 解析 $MFT

image-20220729234947200

一把梭 flag:{45EF6FFC-F0B6-4000-A7C0-8D1549355A8C}.png

这道题还可以用 NTFS log tracker 做 别的方法也有

** 看下知识点 引用自 **https://www.dgxue.com/huifu/158.html

将一个分区格式化为 NTFS 后,格式化程序会往该分区中写入很多重要的系统信息,这些系统信息在 NTFS 文件系统中称为元文件。这些元文件用户是不能访问的,它们的文件名的第一个字符都是“$”,表示该文件是隐藏的,用户无法访问和修改。

image-20220730000530654