1. 技术文章
  2. BUUCTF V&N-misc内存取证

BUUCTF V&N-misc内存取证

两盒软妹~` 提交于 2021-01-13 02:01:34

分析镜像:

volatility -f mem.raw imageinfo

查看进程:

volatility -f mem.raw  --profile=Win7SP1x86_23418 pslist

列出我认为的可疑的进程:

explorer.exe 
TrueCrypt.exe
notepad.exe
iexplore.exe
mspaint.exe
DumpIt.exe

dump记事本、画图进程:

volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 --dump-dir=./ 
volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 2648 --dump-dir=./

2648.bmp的后缀改为data

查看IE浏览器历史:

volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory

<a href="https://sm.ms/image/AQ3lagDhWHCUnYK" target="_blank"><img src="https://i.loli.net/2020/03/01/AQ3lagDhWHCUnYK.png" width="60%" height="60%"></a> 我的水平只能做到这了 赛后复现:

<a href="https://sm.ms/image/cfgvDlJhY19zm3X" target="_blank"><img src="https://i.loli.net/2020/03/01/cfgvDlJhY19zm3X.png" width="60%" height="60%"></a>

下载下来是一个文件VOL,在kali用file命令查看类型,data文件(右键VOL,东西不太理解,猜VOL文件是用TrueCrypt软件加密的虚拟磁盘文件 再搜下TrueCrypt.exe 这个进程:

TrueCrypt是一款免费开源的虚拟加密盘加密软件,不需要生成任何文件即可在硬盘上建立虚拟磁盘,用户可以按照盘符进行访问,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。TrueCrypt提供多种加密算法,包括:AES-256、Blowfish(448-bitkey)、CAST5、Serpent、TripleDES、andTwofish,其他特性还有支持FAT32和NTFS分区、隐藏卷标、热键启动等等。

1、用Elcomsoft Forensic Disk Decryptor工具破解TrueCrpt,先dump TrueCrypt.exe 进程

volatility -f mem.raw --profile=Win7SP0x86 memdump -p 3364 --dump-dir=./

<a href="https://sm.ms/image/txZlzF1Ok4Lfro5" target="_blank"><img src="https://i.loli.net/2020/03/01/txZlzF1Ok4Lfro5.png" width="60%" height="60%"></a> <a href="https://sm.ms/image/Al51vBxRasiyMNf" target="_blank"><img src="https://i.loli.net/2020/03/01/Al51vBxRasiyMNf.png" width="60%" height="60%"></a> <a href="https://sm.ms/image/RH1GbkvlZXhp2yr" target="_blank"><img src="https://i.loli.net/2020/03/01/RH1GbkvlZXhp2yr.png" width="60%" height="60%"></a> <a href="https://sm.ms/image/4HYnI1KRUZxF7ef" target="_blank"><img src="https://i.loli.net/2020/03/01/4HYnI1KRUZxF7ef.png" width="60%" height="60%"></a> mount disk到本地: <a href="https://sm.ms/image/xFghiywZLvnlUCQ" target="_blank"><img src="https://i.loli.net/2020/03/01/xFghiywZLvnlUCQ.png" width="60%" height="60%"></a> <a href="https://sm.ms/image/vT4jG3FPOukKHXQ" target="_blank"><img src="https://i.loli.net/2020/03/01/vT4jG3FPOukKHXQ.png" width="60%" height="60%"></a> 得到TrueCrypt的key <a href="https://sm.ms/image/FbHLtMNBz84yfsU" target="_blank"><img src="https://i.loli.net/2020/03/01/FbHLtMNBz84yfsU.png" width="40%" height="40%"></a>

uOjFdKu1jsbWI8N51jsbWI8N5

2、使用VeraCrypt挂载VOL

<a href="https://sm.ms/image/ThPyzn7Rfb23Idw" target="_blank"><img src="https://i.loli.net/2020/03/01/ThPyzn7Rfb23Idw.png" width="60%" height="60%"></a> 得到一个加密的zip 下来就是画图那个,用GIMP处理,位移(好像就是长度),先加宽度,再加高度,然后位移大胆拖,然后慢慢调宽 <a href="https://sm.ms/image/kVQdMZlxIPWo76r" target="_blank"><img src="https://i.loli.net/2020/03/01/kVQdMZlxIPWo76r.png" ></a>

1YxfCQ6goYBD6Q

类似题目: 1、i春秋 取证2(ISC2016训练赛——phrackCTF取证2) 2、roarctf2019 forensic

标签
truecrypt
Amp
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!