一直以来,我对取证的态度都是避而远之,实在是不得不做的时候也只是:

想趁着这次复现西湖论剑题目的机会,对取证进行一个简单的入门。

虽然我的取证工具确实不少,但是也基本没用过。

先从volatility开始吧(毕竟是我接触的第一个取证工具),volatility的使用方法还挺多的,尤其是里面的各种命令,简直让人是眼花缭乱,同时这个软件还能安装插件,这就使它的功能变得异常强大,基本可以实现日常的取证需求。

常用的命令:

$ volatility -f mem.dump imageinfo
$ volatility -f mem.dump --profile=Win7SP1x64 pslist
$ volatility -f mem.dump --profile=Win7SP1x64 cmdscan
$ volatility -f mem.dump --profile=Win7SP1x64 filescan | grep flag.cc
$ volatility -f mem.dump --profile=Win7SP1x64 dumpfiles -Q 0x000000007feabbc0 -D ./
$ volatility -f mem.dump --profile=Win7SP1x64 clipboard -v

对于ez_raw这题就用到了volatility:

首先查看镜像的系统类型,一般来说第一个就是

通过R-Studio加载镜像发现pass.zip文件,尝试提取失败,使用vol导出

以及使用另一个命令查看剪切板的内容:

./volatility_2.6_lin64_standalone -f rawraw.raw –profile=Win7SP1x64 clipboard -v

这是这里面发现的两个密码(其实还有登录密码)

这个解密需要碰撞,是NTLM的hash,可以用hashcat这个工具。

登录密码还可以直接使用Passware爆破

上面那个pass.zip导出后解压是一张图片,用binwalk分出一个zip,用ARCHPR爆破密码:

解压后是一个pass.txt,看了其他师傅的wp才知道是VeraCrypt磁盘挂载工具的密钥文件

此时另一个rar文件的密码我们还不知道,其实是上面剪切板中的密码:DasrIa456sAdmIn987

解压得到mysecretfile,用VeraCrypt挂载:

打开其中的data.xlsx(隐藏文件,需要更改文件夹设置)

发现这个文件也需要密码,这个密码就是我们上面破解出来的登录密码:das123admin321

然后打开后检索flag:

在最后附上volatility的使用教程:

https://blog.csdn.net/qq_38626043/article/details/108883112

https://blog.csdn.net/m0_68012373/article/details/127419463

顺便附上复现过程中参考的师傅的博客:

https://www.cnblogs.com/ExploreADaiiWorld/p/18007137#

师傅们tql!

下面的文件内容来自于使用教程①

说点什么
支持Markdown语法
好耶,沙发还空着ヾ(≧▽≦*)o
Loading...