最近參加了45屆世界技能大賽的山東選拔賽,樣題里有一個題如下:
師傅好不容易拿到了壓縮包的密碼,剛准備輸入,電腦藍屏 了。。。
= =",題意簡單明了,易於理解。一看就是內存取證的題並且已經有了內存轉儲文件了。
廢話不多說,拿到hint就開始動手吧,先把文件下載下來,發現是一個7z的壓縮包,放進kali解壓
解壓以后得到一個flag,看樣子這個就是內存轉儲文件了,直接用volatility分析一下
volatility -f flag imageinfo
系統信息為WinXPSP2x86
獲得系統信息就開始查師傅的壓縮包密碼,題意說剛准備輸入,說明這個passwd當前已經打開過了,或者已經在剪切板里存放
先看一下剪切板中有沒有數據
volatility -f flag --profile=WinXPSP2x86 clipboard
結果得到了一串數據,分析以后發現有一條數據疑似passwd,copy下來
現在有了密碼,但是沒有壓縮文件,再查一下內存中緩存的文件
volatility -f flag --profile=WinXPSP2x86 filescan
直接被數據刷屏了= =
過濾一下
volatility -f flag --profile=WinXPSP2x86 filescan | grep rar
得到了flag.rar
進行解壓縮,輸入密碼,得到flag
sg