『CTF』记一次取证分析题目

日期：2023-05-17

作者：yukong

介绍：记录 CTF 中的一次取证分析。

0x00 前言

之前CTF比赛或者培训要么使用Volatility工具对镜像文件分析或者使用RStudio软件恢复文件，找到删除的flag都比较常见，这次题目需要二者配合使用效果更佳，感觉比较典型简单记录一下。

0x01 题目介绍

题目内容：小智在使用windows系统时突发故障，导致桌面的重要文件丢失，你能帮它恢复数据吗？

文件格式：Memory_attachment.vmem

简单分析：题目给到的是一个镜像文件，并且告诉我们桌面丢失了重要文件，猜测需要使用软件加载镜像恢复丢失的文件。

0x02 解题过程

通过题目我们容易地能够想出需要使用软件恢复丢失的文件，常使用恢复文件的工具RStudio。

2.1 RStudio 使用

（1）打开RStudio。

（2）选择全部文件，加载镜像文件。

（3）扫描镜像文件，扫描完成后会显示两个磁盘文件。

（4）打开原始文件，搜索可能存在提示信息或者flag的文件，通常我们会搜索txt、zip、rar、7z。

（5）可以看到已经搜索到一个7z的压缩包以及很多txt文件，下载查看后txt文件内没有什么有用信息，但是压缩包打开后发现存在flag.txt打开需要密码。结果如下。

（6）翻看所有txt文件都没有找到密码，于是想到去Recognized0磁盘中搜索已经被删除的文件，查看有没有提示信息。

发现桌面已经被删除的文件中，提示告诉我们压缩密码和用户名为chuagnanbei的登录密码相同。

此处引出另外一个镜像取证工具Volatility，需要通过Volatility加载镜像读取用户密码。

2.2 Volatility 使用

下载地址：https://github.com/volatilityfoundation/volatility

（1）使用Volatility查看镜像平台，支持该镜像的平台如下。

vol.py -f Memory_attachment.vmem imageinfo

（2）加载镜像平台，通过打印注册表查看该镜像系统存在的用户。

vol.py -f Memory_attachment.vmem --profile=Win7SP1x64 printkey -K "SAMDomainsAccountUsersNames"

可以看到存在chuagnanbei用户，需要找到该用户的登录密码。

（3）打印内存中帐户密码哈希。

└─$ vol.py -f Memory_attachment.vmem --profile=Win7SP1x64 hashdump

拿到hash值之后，保存为shadow文件使用john爆破密码。

（4）使用john爆破chuagnanbei的密码。

john shadow --format=NT

爆破成功密码为caoyang。

（5）解压flag.txt拿到flag。

0x03 总结

以上就是这次题目的简记，题目不算难但所到的工具比较经典。

Volatility在取证中是个神器，用法多样比如查看进程、查看历史命令、查看剪切板、获取IE浏览器历史记录等等。

RStudio也可以在数据恢复，查看删除文件的题目中手到擒来，可以进一步研究、学习使用。

免责声明：本文仅供安全研究与讨论之用，严禁用于非法用途，违者后果自负。

宸极实验室隶属山东九州信泰信息科技股份有限公司，致力于网络安全对抗技术研究，是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域，善于利用黑客视角发现和解决网络安全问题。

团队自成立以来，圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动，并积极参加各类网络安全竞赛，屡获殊荣。

对信息安全感兴趣的小伙伴欢迎加入宸极实验室，关注公众号，回复『招聘』，获取联系方式。