ctfshow 摆烂杯 取证部分

JiaJia-CP-1

点击查看代码

1.佳佳的电脑用户名叫什么(即C:\Users{name})
2.最后一次运行计算器的时间？(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)

先查看一波镜像版本
volatility -f JiaJia_Co.raw imageinfo

然后按提示说的filescan Users
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 filescan | grep Users

就可以发现用户名是JiaJia

最后一次运行计算器的时间，我们可以使用timeliner插件从多个位置来搜集系统的活动信息，把得到的存到txt里
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 timeliner >time.txt

浅浅了解一下计算器的英文单词

然后去time.txt里搜一下

还要转化成东八区时间
+0000是国际时间，+8000是东八区时间，在国际时间加上8小时为北京时间
2021-12-10_20:15:47

JiaJia-CP-2

点击查看代码

1.佳佳在公司使用了一款聊天软件，请问此软件的版本号为?
2.佳佳在网页上登录了自己的邮箱，请问佳佳的邮箱是？

一般软件都会在桌面上有快捷方式啥的，找下Desktop
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 filescan | grep Desktop
可以看到最后一行有个Telegram.exe 电报

尝试导出
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000013fde26a0 -D ./

把文件的后缀换成exe就可以看产品版本了

因为是在网页上登录的邮箱，先查看一下浏览器历史
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 iehistory
不过并没有显示

可以再试下获取屏幕截图
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 screenshot --dump-dir ./

有一张里面有邮箱

JiaJia-CP-3

点击查看代码

1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)
2.佳佳解压了从chrome下载了一个压缩文件，此文件的相关信息已经写入了到环境中，请问文件的内容是？

第一问跟上边的计算器一样

第二个要用到显示环境变量的指令envars
依然是存到txt里方便查找
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 envars > envars.txt
直接找zip、rar之类的

JiaJia-PC-1

仿真做法：仿真教程教程

• 产品秘钥（卷影）
  直接搜方法如何查看产品秘钥（卷影）
  
• windows系统版本号
  左下角->设置->系统->关于
  

JiaJia-PC-2

• 佳佳的QQ号是多少？
  可以在任务栏里发现影响Foxmail，去资源管理器找它的文件
  

点击查看代码

foxmail邮件存储位置在大家的安装目录下，我们可以直接右击foxmail图标然后我们点击“打开文件位置”找到Storage文件夹，这个文件夹就保存着我们的邮件数据。

然后就在这里找到邮箱号

• 金额统计.rar是由哪个QQ号通过邮箱发送来的？
  这个还是要去搜索Foxmail的用法
  总之就是在Foxmail 7.2\FMstorage.list中添加Storage的存储路径然后再启动就可以了
  打开就可以看到收件箱里有金额统计，可以看到发件人
  
• 金额统计文档的作者是谁？
  把压缩包搞下来解压看属性就可以了
  

JiaJia-PC-3

• 佳佳使用了公司指定的聊天软件，并且使用了此软件的远控功能，请问整个远控持续了多少秒？
  还是在邮箱中，可以看到这个TeamViewer很符合题意
  
  去资源管理器里找这个文件夹
  文件夹里有个connection_incoming，里边的时间就是被远控的时间
  
• 此软件是在多久被开始安装的
  还有个日志文件，程序开始运行写日志的时候已经算是开始安装了，所以这个时间就是答案
  

• 除开开机密码外，佳佳喜欢使用一个通用密码，请找出此密码。
  那就去看浏览器里保存的密码，在火狐里就看到了