2022CISCN(西北区赛)-The shinning
一道取证题目,学习一下如何解出这种套娃题目
vol2做法
当时开着kali虚拟机做的(Volatility 2.6),以下图片来自当时交给赛事方的wp
1
|
volatility
-
f USER
-
PC
-
20220606
-
064535.raw
-
-
profile
=
Win7SP1x64 filescan | grep
"Desktop"
|
发现有7z和rar各一个,用volatility工具提取出文件
1
2
|
volatility
-
f USER
-
PC
-
20220606
-
064535.raw
-
-
profile
=
Win7SP1x64 dumpfiles
-
Q
0x000000007f66b700
-
-
dump
-
dir
=
.
/
-
u
volatility
-
f USER
-
PC
-
20220606
-
064535.raw
-
-
profile
=
Win7SP1x64 dumpfiles
-
Q
0x000000007e2260f0
-
-
dump
-
dir
=
.
/
-
u
|
修改提取出来的dat为rar和7z后缀,无密码,直接解压
7z解压里的图片(2.jpeg)里面藏了密码(little_pigs),放大后的效果
得到little_pigs
另外的一个WAV
输入之前的little_pigs密码
用DeepSound去解
就能得到md5串
md5爆破得到
U_f1nd_Johnny
再拿着这个密码,结合hint里的Andriod备份解密,使用了下好的kobackupdec仓库
在storage\MediaTar\images\images0\wallpaper这个路径下,有一个3.jpeg
flag{3aab36aa-1de8-4059-ba09-dc0e27dff7ed}
vol3做法
有点手痒,换成Arch Linux的Volatility 3 重新复现,网上的介绍更多的都停留在Volatility 2.6版本,3的资料还很少见
使用参考的是CSDN上的做法
1
|
vol
-
f USER
-
PC
-
20220606
-
064535.raw
windows.info
|
查看windows信息,win7sp1
1
2
|
vol
-
f USER
-
PC
-
20220606
-
064535.raw
dumpfiles
-
-
physaddr
0x7f66b700
vol
-
f USER
-
PC
-
20220606
-
064535.raw
dumpfiles
-
-
physaddr
0x7e2260f0
|
提取desktop.rar
(看这个记录应该是还有内存修改记录,但是不知道该怎么做了)
剩下操作跟上面差不多,贴一张在Arch Linux复现的记录
images0.tar.enc变为了images.tar
1
|
sudo tar
-
x
-
f images0.tar
|
会解压出一个111的文件夹
在111/storage/MediaTar/images/wallpaper/下,一个名为3.jpeg的文件就是flag
结语
这次的Misc题目就是套娃,隐写+DeepSound+md5破解+华为备份还原
关于华为备份还原,Github仓库链接导向了一个连接
讲述如何在非华为终端上解密华为备份文件,但2021年以后那个团队就停止维护,说是很多商业取证软件也解决了这个问题。但我没有搜到,希望有大哥可以带下路
更多【2022CISCN(西北区赛)-The shinning】相关视频教程:www.yxfzedu.com