在 \output\storage\MediaTar\images 目录下得到一个 images0.tar 压缩文件,解压得到flag
flag{TH4NK Y0U FOR DECRYPTING MY DATA}
[蓝帽杯 2022 初赛]计算机取证
第一问
首先,查看基本信息
volatility -f 1.dmp imageinfo
然后,使用 hashdump 查看各个用户的密码哈希值
volatility -f 1.dmp --profile=Win7SP1x64 hashdump
在线查询,得到密码
第二问
查看进程树
volatility -f 1.dmp --profile=Win7SP1x64 pstree
发现 MagnetRAMCaptu 进程,MAGNET RAM Capture 是 MAGNET 取证公司出品的内存取证工具
第三问
(待更新)
第四问
(待更新)
[羊城杯 2021]Baby_Forenisc
重建 Internet Explorer 缓存/历史记录
volatility -f BIODOG-7711E93C-20210908-053022.raw --profile=WinXPSP2x86 iehistory
扫描文件,并按照文件名 ssh.txt 过滤
vol.py -f BIODOG-7711E93C-20210908-053022.raw --profile=WinXPSP2x86 filescan | grep ssh.txt
将上述两个文件dump下来
vol.py -f BIODOG-7711E93C-20210908-053022.raw --profile=WinXPSP2x86 dumpfiles -Q 0x00000000020bf6a0 -D /home/kali/CTFwork/NSSCTF/misc/YangCheng_2021/Baby_Forenisc
vol.py -f BIODOG-7711E93C-20210908-053022.raw --profile=WinXPSP2x86 dumpfiles -Q 0x00000000021c01b0 -D /home/kali/CTFwork/NSSCTF/misc/YangCheng_2021/Baby_Forenisc
查看文件内容
base64解密后可以找到一个邮箱:song552085107@qq.com
在 GitHub 上查找,有一个相关用户
进入项目,根据README.md文件提示,将__APP__文件下载下来
在__APP__文件中可以找到一串字符串: U2FuZ0ZvcntTMF8zYXp5XzJfY3JhY2tfbm9vYl9wbGF5ZXJ9
base64解码后得到flag
[OtterCTF 2018]
What the password?
volatility -f OtterCTF.vmem --profile=Win7SP1x64 lsadump
General Info
可知,Windows系统的计算机名在注册表单元 \REGISTRY\MACHINE\SYSTEM 中的 ControlSet001\Control\ComputerName\ComputerName 条目中
首先,打印注册表配置单元列表
volatility -f OtterCTF.vmem --profile=Win7SP1x64 hivelist
找到偏移量 0xfffff8a000024010 后,带有计算机名信息的注册表条目读取出来
volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
打印网络信息
volatility -f OtterCTF.vmem --profile=Win7SP1x64 netscan
Play Time
volatility -f OtterCTF.vmem --profile=Win7SP1x64 netscan
Silly Rick
volatility -f OtterCTF.vmem --profile=Win7SP1x64 clipboard
Name Game
可知游戏的的PID为708,将对应的内存文件dump下来
最低0.47元/天 解锁文章
扫一扫
603
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
