【数据安全竞赛】BUUCTF·磁盘取证

BUUCTF磁盘取证解题解析

原创于 2025-09-25 16:37:37 发布 · 278 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#数据安全竞赛

数据安全专栏收录该内容

3 篇文章

订阅专栏

1.做题

1.1 磁盘取证

看题

下载附件后，得到：

无法得出文件格式，根据题目提示，推测为某种磁盘镜像，通过kali file命令查看如下：

在这里插入图片描述

ext3即为linux第三代扩展文件格式，尝试通过DiskGenius “磁盘-打开虚拟磁盘文件”进行分析：

在这里插入图片描述

以上可看到是正常的磁盘分区并存在文件夹和文件，尝试“flag”关键字查找。但是软件本身并不支持文件查找功能，但我们可以先选中“主分区”右键选择“导出目录结构到HTML文件”后，再进行关键字查找：

在这里插入图片描述

找到文件所在位置后再回到主分区中相应文件夹找到文件，打开后得到：

在这里插入图片描述

通过观察发现应该是base系列编码，但是因为在镜像中不可编辑复制，选中文件后复制出来，解码得到flag：

在这里插入图片描述

小结

本题知识点为：

拿到未知文件不要慌，先file看文件实际格式
常见文件系统格式：Windows文件系统（FAT、NTFS）、Linux文件系统（ext3、ext4）、vmdk
磁盘镜像分析软件DiskGenius、WinHex的使用

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

mosan123

关注关注

10
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BuuCTF难题详解| Misc | V&N 2020 公开赛内存取证

pone2233的博客

10-29

4065

题目介绍这道题目，我们要在Buu上面做需要的步骤需要调整，先下载链接内容，然后在下载附加。 BuuCTF难题详解| Misc | V&N 2020 公开赛内存取证 P1 我们使用volatility，进行镜像分析 volatility -f mem.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on

第一届“龙信杯”电子数据取证竞赛Writeup

toto的博客

09-25

9894

第一届“龙信杯”电子数据取证竞赛Writeup

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF: [V&N2020 公开赛]内存取证

末初 · mochu7

11-21

4781

https://buuoj.cn/challenges#[V&N2020%20%E5%85%AC%E5%BC%80%E8%B5%9B]%E5%86%85%E5%AD%98%E5%8F%96%E8%AF%81 这里贴网上看到的一位师傅这道题wp的思维导图，地址：https://blog.xiafeng2333.top/ctf-25/ 查看镜像的Profile volatility -f mem.raw imageinfo 查看进程 volatility -f mem.raw --prof

BuuCTF难题详解| Misc | [GUET-CTF2019]soul sipse

pone2233的博客

09-01

1310

栏目介绍其实这题目并不是难题，可是我规划从50分以上的都专门开一个难题内容详情，所以这期就放难题了，我觉得还是没有难度的。 BuuCTF难题详解| Misc | [GUET-CTF2019]soul sipse 说实话这道题，难度就在他的音频提示中，起初我以为是电码解题，在一次次实验中，是隐写题目，音频一般binwalk分不开，那就是隐写了， steghide extract -sf out.wav 无密码分离之后一个微云链接下载下来打不开文件看一下正确的文件头修复一下解码一下 fl

BUUCTF-刷题记录-6

qq_45628145的博客

10-03

1389

MISC 菜刀666 在tcp的第7个流里面发现传输了一张图片 foremost分离出来一个带有密码的压缩包，把图片给提取出来，得到密码解压得到flag [UTCTF2020]basic-forensics 给了一个jpeg，但其实不是，修改为txt，直接全局搜索flag就看到了flag 荷兰宽带数据泄露使用routerpassview工具查看路由器配置文件里面存的的用户名即可，flag即为用户名 webshell后门 D盾扫一下，发现后门文件然后搜索pass就可以看得到密码，也就是flag

BUUCTF FLAG

weixin_53955759的博客

06-20

1571

下载附件得到png图片，教练我想打ctf

2024 年全国网络安全行业职业技能大赛-电子数据取证分析师总决赛解析WP_2024年网络安全行业职业技能大赛答案

2401_87205029的博客

09-18

1664

3.数据库的备份数据以扩展名为zip 的文件存储在系统中，找到该zip 文件计算其MD5（128 位）校验值，并以此作为flag 提交。4.已知电脑中有一个抓包文件，请对该文件进行分析，给出流量包中可以获取的最大的图片的大小（单位字节），并以此作为 flag 提交。3.数据库中存放了大量用户的信息，请找到该表，提取手机号码为“13604329317”的用户的名称，并以此作为 flag 提交。（答案格式：写出名称）（2 分）（例如：赵二的上线是张三，张三的上线是李四，则赵二的上线的上线就是李四）（5 分）

ElcomSoft 取证系列: Elcomsoft Forensic Disk Decryptor 磁盘解密工具

最新发布

2302_82041293的博客

01-06

1903

Elcomsoft Forensic Disk Decryptor 软件支持即时访问存储在加密的 BitLocker、FileVault 2、PGP Disk、TrueCrypt 和 VeraCrypt 磁盘和容器中的数据。该工具从 RAM 镜像、休眠和页面文件中提取加密密钥，或使用纯文本密码或托管密钥来解密存储在加密容器中的文件和文件夹，或将加密卷挂载为新的驱动器号，以便即时、实时访问。

2024 年全国网络安全行业职业技能大赛-电子数据取证分析师-决赛WP_2024网络安全行业赛取证

2401_84240129的博客

05-01

1463

数据库取证工具里面可以恢复删除掉的数据带红叉的就说删除过的，game库下面announcement_detail表里面update_time字段使用sql语句时间戳最大为1513243355转换时间为2017-12-14 17:22:35。

有了这个网络安全面试题，面试就像开了挂！（附PDF）

lvaolan的博客

02-26

2308

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！内容实在太多，不一一截图了。

BUUCTF刷题第二周

Qianzshuo的博客

10-04

1140

第二周wireshakeasycap另一个世界被劫持的神秘礼物数据包中的线索 wireshak 题目给了提示，将下载的pcap丢到wireshark里面，发现查看得到flag easycap 打开压缩包发现是一个pcap，丢到wireshark中，追踪第一个包，直接得到flag 另一个世界用winhex查看，发现最后有一串二进制，将其转换成ascii 被劫持的神秘礼物 pcapng文件，用wireshark打开，查看http包，根据提示将账号密码连接起来，然后md5加密数据包中的线索用 wires

BUUCTF Misc wp大合集(2)

Ivyyyyyy1的博客

07-06

2251

BUUCTF Misc 杂项方向write up合集(二)，持续更新中

[BUUCTF]PWN——[V&N2020 公开赛]warmup

mcmuyanga的博客

11-17

571

[V&N2020 公开赛]warmup 步骤：例行检查，64位程序，除了canary，其他保护都开本地运行一下，看看大概的情况 64位ida载入，从main函数开始看程序看到程序将puts函数的地址泄露给了我们 sub_84D（）函数里面是prctl函数的沙箱机制可以利用seccomp-tools工具来查看一下限制了哪些函数禁止了execve和fork syscall，关于seccomp-tools工具的安装和使用看这篇文章,关于prctl函数可以看一下这篇文章

CTF磁盘取证分析方法案例

Bruce_xiaowei的博客

08-05

991

数据取证（Data Forensics）是一种技术和方法，旨在对计算机系统、网络或存储设备中保存的数字数据进行深入分析和验证，以确定其真实性、完整性和一致性。CTF比赛中，磁盘取证类题目一般会提供一个磁盘镜像，选手要综合利用磁盘存储和文件系统的知识来提取磁盘镜像文件中的flag。

CTF模式

haoshangguan的博客

10-12

1776

CTF竞赛模式具体分为以下几类：正文理论知识理论题多见于国内比赛，通常为选择题。包含单选及多选，选手需要根据自己所学的相关理论知识进行作答。最终得出分数。理论部分通常多见于初赛或是初赛之前的海选 Jeopardy-解题参赛队伍可以通过互联网或者现场网络参与，参数队伍通过与在线环境交互或文件离线分析，解决网络安全技术挑战获取相应分值，类似于 ACM 编程竞赛、信息学奥林匹克赛，根据总分和时间来进行排名。不同的是这个解题模式一般会设置一血(First Blood) 、二血(Second Blood

CTF取证总结(内存取证,磁盘取证)以及例题复现

热门推荐

Love&Share

09-20

4万+

内存取证经常利用volatility分析取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo，pslist，dumpfiles，memdump) 可疑的进程（notepad，cmd）和磁盘取证结合起来考察了解部分操作系统原理常见文件后缀dmg，img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令其中 -f 后面加的是要取证的文件， --profile 后加的是工具识别出的系

BUUCTF 被嗅探的流量 1

YueXuan_521的博客

10-29

2878

BUUCTF 被嗅探的流量 1 在Wireshark中打开，开始分析流量。我首先大致浏览了一下流量，发现HTTP协议的流量有上传文件的痕迹。某黑客潜入到某公司内网通过嗅探抓取了一段文件传输的数据，该数据也被该公司截获，你能帮该公司分析他抓取的到底是什么文件的数据吗？4、在这条流量的提示信息中，我们看到包含JPEG图像，追踪这条流量的HTTP流，看到很多的数据，在数据的最下面找到flag。3、我是将每一条上传的流量都追踪HTTP流，最后找到有flag的报文。其实，可以查看流量的提示信息更快的定位目标流量。

CTF---MISC详解

weixin_52796034的博客

11-03

9244

Misc 是英文 Miscellaneous 的前四个字母，杂项、混合体、大杂烩的意思。 Recon（信息搜集）主要介绍一些获取信息的渠道和一些利用百度、谷歌等搜索引擎的技巧 Encode（编码转换）主要介绍在 CTF 比赛中一些常见的编码形式以及转换的技巧和常见方式 Forensic && Stego（数字取证 && 隐写分析）隐写取证是 Misc 中最为重要的一块，包括文件分析、隐写、内存镜像分析和流量抓包分析等等，涉及巧妙的编码、隐藏数据、层层嵌套的文件中的文件，灵活利用搜索引擎获取所需

ProDiscover综合取证工具快速定位磁盘数据

这意味着其在读取磁盘数据时采用只读模式，避免对原始数据造成任何修改，确保取证过程符合司法鉴定的“完整性”和“可重复性”原则，这是数字取证领域最基本也是最关键的合规要求。进一步结合标签信息进行分析，...