前言

做了CTFshow的电子取证题目，感觉还是值得记录一下的。

场景

这是部分人熟知的刘佳佳同学的电脑，她今年21岁已在公司里实习。但是佳佳经常摸鱼被老板训斥说："你怎么摸得下去的"。因此佳佳还会经常将未完成的工作带到家里去完成(老板不留她加班属实有点离谱。但最近佳佳一天摸鱼的时间达到了25小时，这令老板非常不爽。于是🐕老板悄悄的植入了一个软件并在后台获取了佳佳电脑的内存信息。由于老板也是个懒🐕于是叫你来找一下老板想要的佳佳电脑的信息。作为十年老粉的CTFer们如果不是因为要找到flag一定不想帮老板来看佳佳的电脑内存信息吧，于是你也只能来帮助老板寻找佳佳电脑里的信息。电脑里面没有奇奇怪怪的东西，不要乱翻浪费时间

题目解压密码：Th1s_15_p@SsW0rd_u_n3ver_kn0w_b3f0re_BLB_St4rt

可通过验证压缩包md5值查看附件是否损坏：de3b3febacdfa20d255e1014cd204a35

1.佳佳的电脑用户名叫什么(即C:Users{name})

题目其实已经给提示了，扫描全部文件就出来文件路径了：

volatility_2.6_win64_standalone.exe  -f C:UsersAdministratorDesktopJiaJia_Co.raw --profile=Win7S P1x64 filescan > filescan.txt # 内容太多我们输出到文件里
# 随便找到一行Users的目录：
0x000000013d80b5f0     16      0 RW-rw- DeviceHarddiskVolume1UsersJiaJiaAppDataLocalMozillaFirefoxProfiles0mbikn9.default-releasecache2entries4B8D83B298DE004856C2F4CF754B00E4615260F7

用户名：JiaJia

2.最后一次运行计算器的时间？(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)

这个要查看注册表中的UserAssist，先来了解一下这个是什么：

UserAssist 是 Windows 操作系统注册表中的一个键值，它主要用于记录用户在系统中的操作相关信息。这个键值位于HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist路径下。它可以帮助系统（以及第三方工具）了解用户的软件使用习惯等相关数据。UserAssist 会记录用户打开应用程序的频率等信息。例如，当你多次打开某个办公软件，如 Microsoft Word，系统会在 UserAssist 键下记录相关的信息，包括程序的路径、打开的次数以及最后一次打开的时间等细节。这对于系统了解用户最常使用的软件非常有帮助，在某些情况下，操作系统可以根据这些数据来优化软件的启动顺序或者资源分配。

$volatility_2.6_win64_standalone.exe  -f C:UsersAdministratorDesktopJiaJia_Co.raw --profile=Win7S P1x64 userassist
# 输出的内容中找到了calc
REG_BINARY    %windir%system32calc.exe :
Count:          1
Focus Count:    1
Time Focused:   0:00:07.473000
Last updated:   2021-12-10 12:15:47 UTC+0000
# 记住了这个是UTC+0000，不是东八区，要加8个小时，吃过一次亏记住了。

时间：2021-12-10_20:15:47

3.佳佳在公司使用了一款聊天软件，请问此软件的版本号为?

其实上面的题算是提示了，还是看UserAssist，因为用户运行过的程序这里会有记录，在这里看到了Telegram

REG_BINARY    C:UsersJiaJiaAppDataRoamingTelegram DesktopTelegram.exe :
Count:          1
Focus Count:    1
Time Focused:   0:00:30.936000
Last updated:   2021-12-10 12:18:48 UTC+0000

但是这里看不到版本号，回想一下一个软件的版本号哪里能看到呢，好像只能打开这个软件，那就导出来试试吧：

# 先定位到它的内存偏移
0x000000013dce9f20      7      0 R--r-d DeviceHarddiskVolume1UsersJiaJiaAppDataRoamingTelegram DesktopTelegram.exe
λ volatility_2.6_win64_standalone.exe  -f C:UsersAdministratorDesktopJiaJia_Co.raw --profile=Win7S P1x64 dumpfiles -Q 0x000000013dce9f20 -D ./

得到了一个img文件，把后缀改为exe，然后查看其属性：

产品版本：3.3.0.0

4.佳佳在网页上登录了自己的邮箱，请问佳佳的邮箱是？

这个以为是查看浏览器历史记录，结果导出来是空的，那就试试其他的，最后在屏幕截图里找到了，应该是它：

 python2 vol.py --plugin=..volatility_plugin -f ..JiaJia_Co.raw --profile=Win7SP1x64 screenshot -D
./
Volatility Foundation Volatility Framework 2.6
Wrote ./session_0.Service-0x0-3e5$.Default.png
Wrote ./session_0.msswindowstation.mssrestricteddesk.png
Wrote ./session_1.Service-0x0-b6458$.sbox_alternate_desktop_0x858.png
Wrote ./session_0.WinSta0.Default.png
Wrote ./session_0.WinSta0.Disconnect.png
Wrote ./session_0.WinSta0.Winlogon.png
Wrote ./session_0.Service-0x0-3e7$.Default.png
Wrote ./session_0.Service-0x0-3e4$.Default.png
Wrote ./session_1.WinSta0.sbox_alternate_desktop_local_winstation_0x858.png
Wrote ./session_1.WinSta0.Default.png
Wrote ./session_1.WinSta0.Disconnect.png
Wrote ./session_1.WinSta0.Winlogon.png

session_1.WinSta0.Default.png图片中有一串应该是邮箱：[email protected]

5.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)

其实和第二个题目一样：

$python2 vol.py --plugin=volatility_plugin -f JiaJia_Co.raw --profile=Win7SP1x64 userassist
REG_BINARY    {6D809377-6AF0-444B-8957-A3773F02200E}GoogleChromeApplicationchrome.exe :
Count:          2
Focus Count:    0
Time Focused:   0:00:00.500000
Last updated:   2021-12-10 12:28:43 UTC+0000

同样，这个时间要加上8小时：2021-12-10 20:28:43

6.佳佳解压了从chrome下载了一个压缩文件，此文件的相关内容信息已经写入了到环境中，请问文件的内容是？

# 查看环境变量
λ python2 vol.py --plugin=volatility_plugin -f JiaJia_Co.raw --profile=Win7SP1x64 envars > envars.txt
Volatility Foundation Volatility Framework 2.6

找到了需要的东西：Th1s_i5_Ur_P5wd