-
-
[原创]2022CISCN(西北区赛)-The shinning
-
发表于: 2022-8-7 21:38 8519
-
一道取证题目,学习一下如何解出这种套娃题目
当时开着kali虚拟机做的(Volatility 2.6),以下图片来自当时交给赛事方的wp
发现有7z和rar各一个,用volatility工具提取出文件
修改提取出来的dat为rar和7z后缀,无密码,直接解压
7z解压里的图片(2.jpeg)里面藏了密码(little_pigs),放大后的效果
得到little_pigs
另外的一个WAV
输入之前的little_pigs密码
用DeepSound去解
就能得到md5串
md5爆破得到
U_f1nd_Johnny
再拿着这个密码,结合hint里的Andriod备份解密,使用了下好的kobackupdec仓库
在storage\MediaTar\images\images0\wallpaper这个路径下,有一个3.jpeg
里面的大字是用小字构成的,小字就是flag(跟前面的2.jpeg一样费眼睛)
flag{3aab36aa-1de8-4059-ba09-dc0e27dff7ed}
有点手痒,换成Arch Linux的Volatility 3 重新复现,网上的介绍更多的都停留在Volatility 2.6版本,3的资料还很少见
使用参考的是CSDN上的做法
查看windows信息,win7sp1
提取desktop.rar
(看这个记录应该是还有内存修改记录,但是不知道该怎么做了)
剩下操作跟上面差不多,贴一张在Arch Linux复现的记录
images0.tar.enc变为了images.tar
会解压出一个111的文件夹
在111/storage/MediaTar/images/wallpaper/下,一个名为3.jpeg的文件就是flag
这次的Misc题目就是套娃,隐写+DeepSound+md5破解+华为备份还原
关于华为备份还原,Github仓库链接导向了一个连接
讲述如何在非华为终端上解密华为备份文件,但2021年以后那个团队就停止维护,说是很多商业取证软件也解决了这个问题。但我没有搜到,希望有大哥可以带下路
volatility
-
f USER
-
PC
-
20220606
-
064535.raw
-
-
profile
=
Win7SP1x64 filescan | grep
"Desktop"
volatility
-
f USER
-
PC
-
20220606
-
064535.raw
-
-
profile
=
Win7SP1x64 filescan | grep
"Desktop"
volatility
-
f USER
-
PC
-
20220606
-
064535.raw
-
-
profile
=
Win7SP1x64 dumpfiles
-
Q
0x000000007f66b700
-
-
dump
-
dir
=
.
/
-
u
volatility
-
f USER
-
PC
-
20220606
-
064535.raw
-
-
profile
=
Win7SP1x64 dumpfiles
-
Q
0x000000007e2260f0
-
-
dump
-
dir
=
.
/
-
u
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课