取证学习
取证学习
fulian23a1natas
用a1natas的入门题练习对lovelymem的使用(自己用volatility居然获取不了)
[Forensics-1] cmd
直接查看控制台输出
[Forensics-2] iehistory
直接用工具查看ie记录会出问题
直接全局搜索字符串
[Forensics-3] Computer Name
系统信息找到ComputerName
[Forensics-4] Password
用mimikatz找到
也可以用passwareKit查找
[Forensics-5] 机密文件
查找文件有个小技巧,将文件按名称排序,用户目录下的文件就会排在一起,直接略过系统文件,着重查看用户目录下的文件
一下发现两个特殊文件
导出机密文件.docx即可得到flag
[Forensics-6] Forensics X Reverse
已经找到flag程序,直接放入IDA看看
IDA分析失败,去看看字符串列表
发现获取flag部分
找到相关代码
丢给ai分析,flag的值就是v2数组的值跟v5异或,但是v5的值不好获取,直接写个脚本遍历v5的值
得到flag
JiaJia-CP
JiaJia-CP-1
1.佳佳的电脑用户名叫什么(即C:\Users{name})
2.最后一次运行计算器的时间?(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)
系统信息中找到了用户名
使用userassist模块找到用户运行过的程序,由于是UTC+0000,所以最后的时间要加上8小时
1 | ctfshow{JiaJia_2021-12-10_20:33:12} => ctfshow{079249e3fc743bc2d0789f224e451ffd} |
JiaJia-CP-2
1.佳佳在公司使用了一款聊天软件,请问此软件的版本号为?
2.佳佳在网页上登录了自己的邮箱,请问佳佳的邮箱是?
扫描所有文件并导出
过滤name包含.exe,并且排序,集中用户文件夹,找到软件telegram(该不会是电诈公司吧)
导出查看属性,得到版本号为3.3.0.0
第二个获取邮箱,由于我每次获取浏览器记录都出问题,于是直接用正则搜索字符串,但是并没有结果
最后查看窗口截图找到了邮箱
1 | ctfshow{3.3.0.0_a2492853776@163.com} => ctfshow{f1420b5294237f453b7cc0951014e45a} |
JiaJia-CP-3
1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)
2.佳佳解压了从chrome下载了一个压缩文件,此文件的相关内容信息已经写入了到环境中,请问文件的内容是?
用userassist模块搜索用户运行过的文件,过滤chrome,发现有3个(看路径lnk文件在任务栏,结果不对,最后也是要一个一个试)
第二点说已经写入到环境中,用envars查看所有进程的环境变量
按value排序很快就找到了
1 | ctfshow{2021-12-10_20:28:43_Th1s_i5_Ur_P5wd} => ctfshow{6430ef3578f7e1206506995cae3d2c24} |
JiaJia-PC
JiaJia-PC-1
1.产品秘钥(卷影)
2.windows系统版本号
由于是镜像取证,先想办法搞到仿真
用AXIOM分析,找到用户名Jia~miao跟NTLM密钥为8000A7F0950E22A43C20C60EDEA47B2F
六百六十六,是条付费记录,比解析不出来还难受
https://hashes.com/ 这个网站能解析出来,得到密码ljj1226
注册表中找到密钥YC7N8-G7WR6-9WR4H-6Y2W4-KBT6X
系统信息中找到版本号
1 | ctfshow{YC7N8-G7WR6-9WR4H-6Y2W4-KBT6X_21H2} => ctfshow{769a5b735409a2697086e68df511495f} |
JiaJia-PC-2
1.佳佳的QQ号是多少?
2.金额统计.rar是由哪个QQ号通过邮箱发送来的?
3.金额统计文档的作者是谁?
给镜像中上传个everything搜索,在foxmail中查找有关@qq.com的内容
文件路径里应该就是佳佳的qq号
index里找到了另一个人的qq号
金额统计属性里看不到作者信息
导出后才有
1 | ctfshow{2492853776_77602440_mumuzi} => ctfshow{8f0e8b881a3894736fb34259bd94eb2e} |
JiaJia-PC-3
1.佳佳使用了公司指定的聊天软件,并且使用了此软件的远控功能,请问整个远控持续了多少秒?
2.此软件是在多久被开始安装的,请将空格替换成下划线
3.除开开机密码外,佳佳喜欢使用一个通用密码,请找出此密码。
直接搜program目录下的应用程序,发现能远控的TeamViewer
找到连接的日志,相减得到163秒
日志文件中找到2021/12/14 22:14:14.804开始记录,应该就是安装时间
通用密码想到浏览器会保存用户密码
在火狐上找到了其他地方的密码,应就是通用密码了
但是得到的flag是错的,之后发现日志文件不仅在系统目录里有,在用户目录里也有一份
而且它们开始记录的时间是不一样的
使用用户目录下的日志的时间2021/12/14 22:14:00.570能得到flag
1 | ctfshow{163_2021/12/14_22:14:00.570_Miaojia123} => ctfshow{a569c7654e2e91ed57169368e4f32415} |
