題目是一個raw的鏡像文件
用volatility搜索一下進程
有正常的notepad,msprint,還有dumpit和truecrypt
volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory
查看ie歷史的時候有一個百度網盤的連接但是沒有密碼
提示放出了 記事本
但是查notepad實在是沒有什么收獲
上取證大師
這就很好用,恢復一下格式化了的數據,直接搜索txt后綴找到了提取碼
本來以為這題目就差不多了
然后又下載下來一個加密文件VOL,扔到取證大師里顯示truecrypt加密。
去找內存密鑰,直接truecrypt加密程序應該就可以
在取證大師里同一個文件夾下找到了一個ky文件,試了試,解出來了
拿到了key,但是后來有大佬告訴我直接EFDD就能解出key
然后手里拿着這個key懵了很久,以為是手動磁盤恢復,后來突然開了個腦洞,我拿key當作密碼又重新解了一次truecrypt,竟然成功了
ok,一個加密的zip文件,密碼不知道是啥。
又回去找密碼,ie,記事本,dumpit都用到了
圖片那里還沒怎么用到,按照基本操作從內存恢復了幾張圖片
volatility -f mem.raw --profile=Win7SP1x86_23418 filescan |grep -E 'jpg|png|jpeg|bmp|gif'
沒什么結果,還有一個姿勢是用gimp看dump出來的msprint.exe的數據。
奈何我調不出來
這道題就死在這里了。。。
---------三天后-------------
抄了pur3大佬博客的參數,才出來原來這位移是要拖的。。。。
