『CTF』常见的 Windows 硬盘取证

日期：2023-07-03

作者：nothing

介绍：介绍 CTF 中常见的硬盘取证工具。

0x00 前言

在CTF中，我们碰到的题目，多以内存取证为主，内存取证可隐藏的东西多，数据可隐藏性也高，所以很多比赛愿意出内存取证的题目，而磁盘取证局限性就多了一些，但仍有不少比赛出这样的题目，下面就主要介绍一下磁盘取证的常用工具和方法。

0x01 简介

磁盘取证一般分为加密磁盘取证和未加密磁盘取证，加密磁盘取证主要考察的点是如何识别加密软件及获取密码，这里就不做讲解了。未加密磁盘的取证呢，则主要考察的是对磁盘文件的加载分析、提取硬盘关键文件数据等方向的内容，接下来我们就这个方向，借助2022年第二届“鹏城杯”联邦靶场协同攻防演练赛的一个题目，讲解一下如何针对磁盘文件，进行加载和取证。

0x02 题目分析讲解

2.1 题目描述

小明发现bitlocker加密的起止时间会被存储在注册表中，于是将注册表进行备份然后准备分析一下，可是不小心误删了备份文件，你可以帮小明恢复出删除的文件并找到bitlocker加密的开始和结束时间么？

flag格式为PCL{YYYY/MM/DD_HH:MM:SS_YYYY/MM/DD_HH:MM:SS}，前面是开始时间，后面是结束时间。

2.2 解题过程详解及工具分析

2.2.1 虚拟机 vmware 挂载

由于题目给的是vmdk文件，vmdk是标准的vmware虚拟机生成的虚拟磁盘文件，所以我们可以优先使用vmware虚拟机进行挂载。

我们使用现存的windows虚拟机也可以，新建一个windows虚拟机也可以。

然后选择添加设备->现有硬盘，添加完成后重新启动虚拟机。

打开以后即可看到我们新添加的硬盘。

但是打开发现是空的，题目说是不小心误删了文件，若是要对误删文件进行恢复，那么就没办法采用这种方式了，这种方式只能让我们正常访问磁盘，但无法对误删文件进行恢复。

2.2.2 Diskgenius

DiskGenius，专家级数据恢复软件，集数据恢复、硬盘分区、系统备份还原等多种功能于一身的超级工具软件。

Diskgenius也具备加载硬盘文件的功能，我们也可以使用Diskgenius打开vmdk文件进行查看文件和数据恢复。

使用Diskgenius，打开虚拟硬盘文件。

打开后可以看到磁盘内部的文件结构。

我们看到了$recycle.bin文件夹，这个文件夹是回收站的文件夹，点开可以看到回收站内未删除的文件。

若是已经清空的回收站，就要选择进行文件恢复。

导出后看到了flag.zip，进行解压后，发现了注册表，再回头去看题目描述，是要求我们恢复后进行注册表分析。

然后使用注册表查看工具加载注册表。

bitlocker的加密完成时间的表项为：

开始时间为：ROOTControlSet001ControlFVEStatsOsvEncryptInit
值为：132995782594427750
完成时间为：ROOTControlSet001ControlFVEStatsOsvEncryptComplete
值为：132995786261823536

将其转换成可读时间分别为：2022/6/13 15:17:39，2022/6/13 15:23:46

由于转换出来的时间是UTC+0的时间，换算成北京时间需要+8个小时。

也可以使用cyberchef进行时间戳的转换。

若是先转换成unix时间戳，再用在线转换成北京时间，即可得到正确结果。

所以最终flag为PCL{2022/6/13_15:17:39_2022/6/13_15:23:46}

2.2.3 WinHex

WinHex 是一款以十六进制编辑器为核心的数据处理高级工具，虽然我们更喜欢称之为十六进制编辑器，但它确实有着很多诸如数据恢复、低级数据处理等其他强大的功能，当然了，这些高级功能同样是基于对十六进制数据的处理。

将vmdk文件使用WinHex打开，但是此时打开以后只是16进制编辑器界面，无法查看磁盘内部的文件结构，此时点击专业工具->将镜像文件转换为磁盘，即可查看磁盘内部文件。

若要恢复删除文件：

选择好目录，即可恢复文件。

0x03 总结

以上就是简单的磁盘取证的工具介绍，除了进行磁盘取证外，也可以使用上述工具进行简单的U盘数据恢复，也能取得很好的效果。