1
分析镜像系统,Win7SP1x64
看用户名账密
解密得到qweasd!123
看内存进程,没啥东西
工具mount挂在1文件
一串编码
使用notepad++的自带插件,对hex进行解码ascii形式
分析发现有base编码,使用base58解码得到flag{831b5f4d1c7cd200e23e4cc3ec8538fb}
2
密码都是空
有个可疑进程
提取
strings打印出,兔子洞,但是有提示
根据提示找jpg文件
提取图片
foremost分离图片,发现里面还有压缩包,解压得到另一个镜像
是个ext2磁盘文件
挂载
hint.txt是一堆坐标
用kali的工具画图gnuplot ,得到一张二维码
解码
Here is the vigenere key: aeolus, but i deleted the encrypted message。
翻找其他位置文件,swp,是vim编译意外中断产生
恢复文件,打开
根据上面的key进行解码,得到yeet!just_find_and_solve
3
看密码asdqwe123
列出进程,又看到一个特殊的进程
dump下来
foremost文件,看有没有藏什么东西
有个解压包,需要密码
mimikatz的密码来回尝试,几经周折都没成功
文件拉取到物理机才发现提示
进行sha256加密
两张图片
立马联想到MISC的盲水印知识点
用Stegsolve打开
得到hgame{7he_f1ame_brin9s_me_end1ess_9rief}
4
老样子先抓一下密码
pslist看进程,也是有个notepad(记事本快捷打开)
cmdline:进程的命令行参数
vol.py --file=/root/tutu/4/4.raw --profile=Win7SP1x64 cmdline
查看位置
dump下来
cat
解压得到
提示需要LastPass,装了插件用不了,奇怪
看解压文件类型
cookies是个sql
文件尾部有个工具,待会可能要挂载,还要个密码
而且这个解压的文件有内存,但是里面没有东西,这个坑一直没解决
最终在这里找到办法
隐藏文件也显示了
windows运行mimikatz
先获取获取MasterKey
然后就是从cookie找密码
得到!bWjAqM2z!iSoJsV*&IRV@*AVI1VrtAb
挂载,这个还真是,知道密码,还得用相同的挂载软件才能用
这边我用kali的挂载
ads图片
对该文件进行misc的知识一直没找到,最后还是百度
用工具扫
得到hgame{Which_0nly_cryin9_3yes_c4n_de5cribe}
原文始发于微信公众号(hutututu):内存取证例题练习
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论