[V&N2020 公开赛]内存取证


题目给的是.raw的镜像文件,我使用的是volatility来取证


我们先分析一下镜像系统

upload successful
然后先查看一下进程

upload successful
我们可以看到有notepad和ie,这是我们要注意的地方


然后我们提取一下记事本的内容

volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 -D ./

并没有找到什么东西,然后去查查ie记录

volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory

我们找到了几条百度网盘的记录
upload successful
但是因为时间的关系,这几个已经打不开了,查阅了一些wp后发现是给了一个叫vol的文件


linux下file之后是data,联想到我们之前的进程里有个TrueCrypt.exe 可以猜测这个VOL是TrueCrypt加密过的磁盘数据,我们需要找到密码


那我们先dump下TrueCrypt.exe


然后用Elcomsoft Forensic Disk Decryptor来解密VOL

解密后挂载到磁盘上

upload successful
在磁盘中有一个key

upload successful
打开后

upload successful
是一串密码,再用VeraCrypt挂载VOL

upload successful
打开是一个压缩包

upload successful
提示加密

upload successful
用16进制看了一下,并不是伪加密,那么找到密码就是关键了


hint提示记事本

upload successful
这里参照了一些其他大佬的wp,我们需要dump一个叫msprint.exe的进程

然后用Gimp慢慢调图像 ps:真的难受

参考了一下别人的数据

upload successful
看得出来是翻转的

upload successful
最后得到压缩包密码
1YxfCQ6goYBD6Q

如果有些字母不确定,推荐用掩码来做
upload successful


文章作者: peco
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 peco !
  目录