Bitlocker加密盘解密实例

本文记录了蓝帽杯2021中的一道题目解答过程,涉及虚拟磁盘处理、BitLocker破解、十六进制分析、反调试技术和Flag获取等多个环节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

蓝帽杯2021

嫌疑人x的硬盘

先用xway打开虚拟盘
在这里插入图片描述
分区2被bitlocker加密,在隐藏分区中发现解密密钥
在这里插入图片描述
用OSFMount工具把vmdk挂本地
在这里插入图片描述
选择输入恢复密钥解密
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
Chat1.exe运行会一闪而过,用cmd运行,会输出correct fail,xlsx不知到干什么用的
在这里插入图片描述
查下壳,发现有壳,但不知道什么壳(官方说是vmp壳),也不会脱
抓包也抓不到数据包(官方解法是流量分析,不知道为什么我没抓到包)
X64dbg调试一下发现有反调试,运行会检测到调试器并终止执行
后来才知道了可以使用SharpOD插件
在这里插入图片描述
按F9跑飞,发现约有四五次中断,每到一断处搜一下字符串,在第三断处搜到了flag
在这里插入图片描述
flag{3c535189-2b5b-477b-b7ba-a8b7e3081415}

*CTF2021

little_trick

文件没有后缀名,16进制看一下,是vhdx虚拟盘
在这里插入图片描述
改后缀为.vhdx,直接挂本地
在这里插入图片描述
发现bitlocker盘加密
在这里插入图片描述
没给密码,先用xways将bitlocker镜像导出,使用Passware工具尝试爆破
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
爆破得到密码1234678,passware yyds
在这里插入图片描述
打开盘之后只发现一个txt
在这里插入图片描述
再用Xway扫一下,在回收站目录下发现两个pdf
在这里插入图片描述
wps打开大的那个pdf看到一个假flag
在这里插入图片描述
应该是有pdf隐写
使用pdf工具直接提取图片
在这里插入图片描述
得到两个图片,拼起来就是flag
在这里插入图片描述
还有其他方法,比如放到linux下,可以直接看到,后面的就是flag
在这里插入图片描述
好神奇,不知道是怎么做到的。

参考文章:
https://blog.youkuaiyun.com/SopRomeo/article/details/112802285
https://mp.weixin.qq.com/s/kbv8jjFFZNQF3RExLe2bPw

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值