一波取证题

Get-the-key.txt

这是一道磁盘取证
磁盘取证的第1步是确定磁盘的类型

磁盘类型是ext2,然后通过fdisk -l可查看磁盘中的卷信息,大小,偏移量等。

然后就行挂载，可以先创建一个目录，然后mount -o loop 文件名 路径


然后去那个文件夹看一下可以发现有很多压缩包，搜一下key.txt

然后file一下这个二进制文件，看看具体是什么文件

解压gzip gunzip<1

其实这道题binwalk分解掉然后查一下也能成功。

---

mount 命令

---

记一道磁盘取证 [安洵杯 2020]王牌特工

给了一个findme的不知名文件，用虚拟机file看一下是什么文件

是一个磁盘文件，挂载一波

然后可以看到里面有个不知名文件和一个txt，看下txt

这是提示要用veracrypt，用这个key加载一下会得到一个假的flag。
这里就有新知识点了，很有可能是有文件被删掉了所以才没加载出来的，恢复文件的工具extundelete，直接打就能安装
然后看一下有哪些文件被删除了、



然后恢复出来

然后进到RECOVERED_FILES这个文件夹里，strings一下那个文件（虽然看不到）

最后那串base一下就是正确的key，然后拿去加载就行了

---

[CISCN 2022 初赛]babydisk

给了一个vmdk，常规套路先用7zip打开，发现一个音频

wav 的隐写有 deepsound 和 silenteye 或者还有其他，先用deepsound 试一下，用 deepsound 打开如果能显示存在密码说明就是 deepsound 隐写的（图片省略了，deepsound显示输入密码了）
去网上搜一个爆破deepsound密码的东东，是一个脚本
python3 deepsound.py voipNewRing.wav > 1.txt

然后把这个1.txt拿到虚拟机里去John一下（虚拟机自带）

这个feedback就是密码
得到了一个key.txt

然后点上边的extract导出文件，它会显示路径，需要记一下，我的是C:\Users\大暄子\Documents
去这个路径里找到这个key.txt

然后这个肯定是什么东西的密码，再去找找vmdk里有没有别的，用DiskGenius打开现有虚拟磁盘然后恢复文件

发现了secret文件，右键复制到桌面.......好吧要花钱
换一个-->取证大师，管美亚柏科公众号要，输入取证大师试用就行。
果然在回收站操作这里发现了一个secret

右键 跳转到源文件，然后在在源文件这里右键导出
将key.txt作为密码去用veracrypt加载secret，得到一个文件叫“spiral”，搜了一下是螺旋的意思，感恩网上大佬提供的解密脚本，解完之后是一个压缩包里面有图片，还得再解一下
最后出来一堆flag，挨个试试，第二个就是

---

[网刃杯 2022]玩坏的winxp

取证大师打开康康
在桌面有个十个t的学习资料，但是打开都是照片

这就很可疑，导出看看
有张meiren.png可以foremost出一个png和压缩包