一波取证题

Get-the-key.txt

这是一道磁盘取证
磁盘取证的第1步是确定磁盘的类型
image
磁盘类型是ext2,然后通过fdisk -l可查看磁盘中的卷信息,大小,偏移量等。
image
然后就行挂载,可以先创建一个目录,然后mount -o loop 文件名 路径
image
image
然后去那个文件夹看一下可以发现有很多压缩包,搜一下key.txt
image
然后file一下这个二进制文件,看看具体是什么文件
image
解压gzip gunzip<1
image
其实这道题binwalk分解掉然后查一下也能成功。


mount 命令

image


记一道磁盘取证 [安洵杯 2020]王牌特工

给了一个findme的不知名文件,用虚拟机file看一下是什么文件
image
是一个磁盘文件,挂载一波
image
然后可以看到里面有个不知名文件和一个txt,看下txt
image
这是提示要用veracrypt,用这个key加载一下会得到一个假的flag。
这里就有新知识点了,很有可能是有文件被删掉了所以才没加载出来的,恢复文件的工具extundelete,直接打就能安装
然后看一下有哪些文件被删除了、
image
image
image
然后恢复出来
image
然后进到RECOVERED_FILES这个文件夹里,strings一下那个文件(虽然看不到)
image
最后那串base一下就是正确的key,然后拿去加载就行了
image


[CISCN 2022 初赛]babydisk

给了一个vmdk,常规套路先用7zip打开,发现一个音频
image
wav 的隐写有 deepsound 和 silenteye 或者还有其他,先用deepsound 试一下,用 deepsound 打开如果能显示存在密码说明就是 deepsound 隐写的(图片省略了,deepsound显示输入密码了)
去网上搜一个爆破deepsound密码的东东,是一个脚本
python3 deepsound.py voipNewRing.wav > 1.txt
image
然后把这个1.txt拿到虚拟机里去John一下(虚拟机自带)
image
这个feedback就是密码
得到了一个key.txt
image
然后点上边的extract导出文件,它会显示路径,需要记一下,我的是C:\Users\大暄子\Documents
去这个路径里找到这个key.txt
image
然后这个肯定是什么东西的密码,再去找找vmdk里有没有别的,用DiskGenius打开现有虚拟磁盘然后恢复文件
image
发现了secret文件,右键复制到桌面.......好吧要花钱
换一个-->取证大师,管美亚柏科公众号要,输入取证大师试用就行。
果然在回收站操作这里发现了一个secret
image
右键 跳转到源文件,然后在在源文件这里右键导出
将key.txt作为密码去用veracrypt加载secret,得到一个文件叫“spiral”,搜了一下是螺旋的意思,感恩网上大佬提供的解密脚本,解完之后是一个压缩包里面有图片,还得再解一下
最后出来一堆flag,挨个试试,第二个就是
image


[网刃杯 2022]玩坏的winxp

取证大师打开康康
在桌面有个十个t的学习资料,但是打开都是照片
image
这就很可疑,导出看看
有张meiren.png可以foremost出一个png和压缩包

posted @   大暄子  阅读(369)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 单线程的Redis速度为什么快?
· 展开说说关于C#中ORM框架的用法!
· Pantheons:用 TypeScript 打造主流大模型对话的一站式集成库
· SQL Server 2025 AI相关能力初探
· 为什么 退出登录 或 修改密码 无法使 token 失效
点击右上角即可分享
微信分享提示