CTF-MISC-内存取证(持续更新)
1.恶意程序注册表
题目来源-2021强网杯
附件为未知文件,用010editor查看
7z文件,修改后缀名
解压出一个镜像文件
非预期解:根据题目提示,可以搜索注册表申请命令REG QUERY命令,用010editor查看
可以得到答案
正确解法可查看这个大佬
(30条消息) 第五届强网杯全国网络安全挑战赛 题目复现(有题目附件,详解)_[强网杯].cipherman_路baby的博客-CSDN博客
2.filescan指令与BitLocker加密
题目来源-2021强网杯
附件用010editor查看是一个7z文件
将解压出来的文件用volatility查看系统
文件是Win7SP1x86_23418,用filescan扫描内存中的所有文件
可以看到有BitLocker加密文件
使用dump命令将其提取出来
打开发现有提示
用DiskGenius挂载文件
readme文件就是flag
3.安洵杯2023
考点:内存取证、sstv、snow隐写、aes加密
volatility2读取windows10的镜像文件容易出问题,这题需要用volatility3来做
扫描镜像的特殊文件
可以看到扫描出许多wav文件和几个可能藏有flag信息的文件
分别将它们提出
flag3是一串密文
U2Fsd头的密文一般是经过aes加密,解开aes加密需要一个key值,题目提示注册表被修改,所以查看一下注册表的值
找到密钥,进行aes解密
查看一下secret.rar
信息中有提示词snow,可以猜测到是snow隐写
接下来找最后一个flag,扫出的文件中有一个do_you_want_listen.txt和有许多wav文件,可以猜测是音频隐写
提示信息说初音未来有一个叫???music的歌,查找了一下是叫39music!
查看dacong39音频文件,最后检测出是sstv
Volatility3的相关指令文章