2022蓝帽杯取证部分复盘学习

目录

• 手机取证
  • 手机取证_1
  • 手机取证_2
• 计算机取证
  • 计算机取证_1
  • 计算机取证_2
  • 计算机取证_3
  • 计算机取证_4
• 程序分析
  • 程序分析_1
  • 程序分析_2
  • 程序分析_3
  • 程序分析_4
• 网站取证
  • 网站取证_1
  • 网站取证_2
  • 网站取证_3
  • 网站取证_4

手机取证

手机取证_1

使用其文件自带盘古石查看器打开搜索该图片查看其分辨率即可

手机取证_2

搜索关键字“单号”在Skype群聊中即可得到flag

计算机取证

计算机取证_1

使用volatility先查进程号

再找出 system和SAM 的 virtual 地址

使用 hashdump -y SYSTEM_virtual -x SAM_virtual.

看到taqi7的哈希加密后的开机密码了，拿到在线解密网站解

解密后即为flag

计算机取证_2

使用volatility,pslist查看进程，看到MagnetRamCaptu
进程Pid:2192

计算机取证_3

取证大师打开，提示存在BitLocker加密
使用EFDD破解密钥（当然也可以使用取证大师自带的内存镜像解析工具

该盘中内容如下：

中间两个office文件进行了加密，但给了字典，使用passware爆破（Bitlocker的密钥也可以用passware爆破，但个人感觉EFDD要更快些


得到密码，分别打开

得到flag

计算机取证_4

打开取证大师，使用其工具集中的内存解析软件

找到密钥
结合上一题容器中最后一个没有利用上的文档，可能就是这一题的容器，导出并用取证大师打开


发现哈哈哈.zip,文件存在加密，使用ARCHPR

打开后得到flag

程序分析

程序分析_1

使用雷电智能分析

看到包名

程序分析_2

jadx-gui中查看AndroidManifest.xml,发现入口

程序分析_3

结合上一题，全局搜索MainActivity

找到网站服务器地址密文

程序分析_4

这个题，不是很懂，答案就是类名a

网站取证

网站取证_1

D盾扫描www文件

找到马了

网站取证_2

跟进my_encrypt（）函数，小修一下运行即可

网站取证_3

全局搜索关键字money

发现有个对money加密的encrypt函数，点进去

发现上面的encrypt（）函数及盐值

网站取证_4

呃呃，我还在研究爬虫怎么写TAT