分析鏡像:
volatility -f mem.raw imageinfo
查看進程:
volatility -f mem.raw --profile=Win7SP1x86_23418 pslist
列出我認為的可疑的進程:
explorer.exe
TrueCrypt.exe
notepad.exe
iexplore.exe
mspaint.exe
DumpIt.exe
dump記事本、畫圖進程:
volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 --dump-dir=./
volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 2648 --dump-dir=./
2648.bmp的后綴改為data
查看IE瀏覽器歷史:
volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory
我的水平只能做到這了
賽后復現:
下載下來是一個文件VOL,在kali用file命令查看類型,data文件(右鍵VOL,東西不太理解,猜VOL文件是用TrueCrypt軟件加密的虛擬磁盤文件
再搜下TrueCrypt.exe 這個進程:
TrueCrypt是一款免費開源的虛擬加密盤加密軟件,不需要生成任何文件即可在硬盤上建立虛擬磁盤,用戶可以按照盤符進行訪問,所有虛擬磁盤上的文件都被自動加密,需要通過密碼來進行訪問。TrueCrypt提供多種加密算法,包括:AES-256、Blowfish(448-bitkey)、CAST5、Serpent、TripleDES、andTwofish,其他特性還有支持FAT32和NTFS分區、隱藏卷標、熱鍵啟動等等。
1、用Elcomsoft Forensic Disk Decryptor工具破解TrueCrpt,先dump TrueCrypt.exe 進程
volatility -f mem.raw --profile=Win7SP0x86 memdump -p 3364 --dump-dir=./
mount disk到本地:
得到TrueCrypt的key
uOjFdKu1jsbWI8N51jsbWI8N5
2、使用VeraCrypt掛載VOL
得到一個加密的zip
下來就是畫圖那個,用GIMP處理,位移(好像就是長度),先加寬度,再加高度,然后位移大膽拖,然后慢慢調寬
1YxfCQ6goYBD6Q
類似題目:
1、i春秋 取證2(ISC2016訓練賽——phrackCTF取證2)
2、roarctf2019 forensic