OtterCTF 内存取证(6-9)

Posted 2021-08-28 z.volcano

6 - Silly Rick

Silly rick always forgets his email’s password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick’s email password?

提示中说了Rick总是复制粘贴密码，而这题则是要找出密码。

所以这题可以使用clipboard指令导出剪贴板数据

flag：CTF{M@il_Pr0vid0rs}

7 - Hide And Seek

The reason that we took rick’s PC memory dump is because there was a malware infection. Please find the malware process name (including the extension)
BEAWARE! There are only 3 attempts to get the right flag!

需要找到恶意软件进程名称（包括扩展名），那就先看一下进程，可以用pstree查看进程树，也可以用userassist查看进程，我这里用pstree(看到了Rick And Morty，hhh)

这里很多常见的进程名，那就挨个看哪个是没见过的，然后导出对应的dll，不过导出来了还是不会判断，就挨个试，然后第一个就试对了

flag：CTF{vmware-tray.exe}

8 - Path To Glory

How did the malware got to rick’s PC? It must be one of rick old illegal habits…

找到恶意软件怎么进入rick的电脑的，通过上一题知道恶意软件是vmware-tray，直接filescan搜这个文件，没有什么线索。想了一下，恶意软件应该是下载到电脑上的，所以找一下下载文件保存的位置。

接下来就一个个dumpfiles看一下，注意记一下文件名

得到的这些dat数据文件可以挨个strings看一下，最后发现一个可疑的字符串

flag：CTF{M3an_T0rren7_4_R!ck}

9 - Path To Glory 2

Continue the search after the way that malware got in.

根据提示，继续在恶意软件进入方式上进行搜索，所以总体步骤还是和上题类似。

不过把上题的文件一个个dump出来之后strings找不到flag，所以换个思路，有可能这个flag在外面其他地方。

在上一题搜索文件名时，有如下几个

0x000000007d63dbc0     10      0 R--r-d \\Device\\HarddiskVolume1\\Torrents\\Rick And Morty season 1 download.exe
0x000000007d8813c0      2      0 RW-rwd \\Device\\HarddiskVolume1\\Users\\Rick\\Downloads\\Rick And Morty season 1 download.exe.torrent
0x000000007da56240      2      0 RW-rwd \\Device\\HarddiskVolume1\\Torrents\\Rick And Morty season 1 download.exe
0x000000007dae9350      2      0 RWD--- \\Device\\HarddiskVolume1\\Users\\Rick\\AppData\\Roaming\\BitTorrent\\Rick And Morty season 1 download.exe.1.torrent
0x000000007dcbf6f0      2      0 RW-rwd \\Device\\HarddiskVolume1\\Users\\Rick\\AppData\\Roaming\\BitTorrent\\Rick And Morty season 1 download.exe.1.torrent
0x000000007e710070      8      0 R--rwd \\Device\\HarddiskVolume1\\Torrents\\Rick And Morty season 1 download.exe

其中重复出现的两个是Rick And Morty season 1 download.exe和Rick And Morty season 1 download.exe.1.torrent

套用上题的方法，查看这两个字符串前后的字符，在参数扩大到10的时候看到了flag

strings /home/volcano/桌面/volatility/* | grep "Rick And Morty season 1 download.exe.torrent" -A 10 -B 10 

测试后发现要把尾部的Year去掉

flag：CTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}