2023巅峰极客

easy_Forensic

先查看镜像信息，

vol.py -f secret.raw imageinfo

再查看进程

 vol.py -f secret.raw --profile=Win7SP1x64 pslist

没什么用

再获取文件

vol.py -f secret.raw --profile=Win7SP1x64 filescan

发现了一个压缩包

一个jpg

一个txt文本

或者直接过滤

vol.py -f secret.raw --profile=Win7SP1x64 filescan | grep txt

把它们都dump下来

vol.py -f secret.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007d84af20 -D ./

hint.txt dump不下来

再来看一下图片，左下角有东西，修改宽高

得到压缩包的密码：Nothing_is_more_important_than_your_life!

可以看到gift里的内容应该是个密钥，wechat是聊天记录

https://github.com/x1hy9/WeChatUserDB，用这个来解

flag{The_Is_Y0ur_prize}

foundme

先去010看看，foremost文件分离一下

找出来一串英文

可以将视频格式改为AVIF格式，再将AVIF格式转换为jpg格式

https://www.aconvert.com/cn/image/avif-to-jpg/%C2%A0

Song

去010看到有压缩包之后，分离下

出来了两张图片和一个压缩包

压缩包解压之后出现了一张图片，都去010看看

里面藏了压缩包，叫我们不要爆破。。。

里面有个password

赛博厨子一把梭了

之后发现有个音频文件，提取出来

音频隐写

this_zip_password_is_QazWsx147!@#

找到密码

flag{lW9tUyrh8RzzvysrswAwY7MHR4mmbLSt}