BUUCTF: [V&N2020 公开赛]内存取证
Posted 末初mochu7
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUUCTF: [V&N2020 公开赛]内存取证相关的知识,希望对你有一定的参考价值。
https://buuoj.cn/challenges#[V&N2020%20%E5%85%AC%E5%BC%80%E8%B5%9B]%E5%86%85%E5%AD%98%E5%8F%96%E8%AF%81
这里贴网上看到的一位师傅这道题wp的思维导图,地址:https://blog.xiafeng2333.top/ctf-25/
查看镜像的Profile
volatility -f mem.raw imageinfo
查看进程
volatility -f mem.raw --profile=Win7SP1x86_23418 pslist
可疑进程:
- notepad.exe
pid 3552 - TrueCrypt.exe
pid 3364(虚拟加密盘加密程序) - mspaint.exe
pid 2648(Windows自带画图程序) - iexplore.exe
pid 3640/3696
从mspaint.exe开始,将该程序dump出来
volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 2648 --dump-dir=./
将2648.dmp重命名为2648.data,并使用Gimp(GUN Image Manipulation Program)打开
没有Gimp的话,安装命令如下:
sudo apt install gimp gimp-help-en -y
使用Gimp打开后,将偏移量、宽度、高度调至大致如下:
Offset: 192671810
Width: 4608
Height: 500
1YxfCQ6goYBD6Q
接着看notepad.exe,将程序dump出来
volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 --dump-dir=./
使用editbox插件
volatility -f mem.raw --profile=Win7SP1x86_23418 editbox
同时得到下载链接和提取码
https://pan.baidu.com/share/init?surl=jAVwrRzIgW1QsLHidtzY_w
提取码: heem
不过这个链接失效了,所以题目放了附件VOL,直接下载即可
接着看TrueCrypt.exe,先dump出来
volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3364 --dump-dir=./
然后使用TrueCrypt的破解工具Elcomsoft Forensic Disk Decryptor
Elcomsoft Forensic Disk Decryptor CracKed By Hmily下载地址:https://pan.baidu.com/s/1DkUWloXZUBTEdSSl6fFn8Q
uOjFdKu1jsbWI8N51jsbWI8N5
然后使用VeraCrypt对VOL进行挂载,需要勾选TrueCrypt Mode
打开E盘,发现fffflag.zip,使用之前画图程序得到的密码解压
1YxfCQ6goYBD6Q
得到flag
flagwm_D0uB1e_TC-cRypt
以上是关于BUUCTF: [V&N2020 公开赛]内存取证的主要内容,如果未能解决你的问题,请参考以下文章