欄目介紹
這題難點,在如何掛載。也是一個腦洞蠻大的題目。
我們獲得的文件只有一個
遇到這種文件,一般都是直接拿去內存取證的,然而我取了半天似乎沒有什么有用的信息,然后這種文件是虛擬機里面的文件,請看介紹。
VMDK:(VMWare Virtual Machine Disk Format)是虛擬機VMware創建的虛擬硬盤格式,文件存在於VMware文件系統中,被稱為VMFS(虛擬機文件系統)
這邊我也學會一個技巧,遇到vmdk可以試試使用7z這個壓縮軟件打開
分離出這個0.fat,fat這個文件,其實就是一個硬盤可以掛載
FAT格式: 即FAT16,這是MS-DOS和最早期的Win 95操作系統中最常見的磁盤分區格式。它采用16位的文件分配表,能支持最大為2GB的分區,幾乎所有的操作系統都支持這一種格式,從DOS、Win
95、Win 97到現在的Win 98、Windows NT、Win
2000,但是在FAT16分區格式中,它有一個最大的缺點:磁盤利用效率低。因為在DOS和Windows系統中,磁盤文件的分配是以簇為單位的,一個簇只分配給一個文件使用,不管這個文件占用整個簇容量的多少。這樣,即使一個文件很小的話,它也要占用了一個簇,剩余的空間便全部閑置在那里,形成了磁盤空間的浪費。由於分區表容量的限制,FAT16支持的分區越大,磁盤上每個簇的容量也越大,造成的浪費也越大。所以為了解決這個問題,微軟公司在Win
97中推出了一種全新的磁盤分區格式FAT32。
然后我們使用VeraCrypt,進行掛載
這個掛載密碼,RCTF上面是有寫上面的,不過應該也不難猜,大家聯想一下這個比賽
password:rctf
到這一步就說明掛載成功,我們打開這個盤看一下
發現他有一個圖片,和password.txt我當時以為是jpg加密,當時我使用了
silenteye、stegdetect0.4、jphide、Free_File_Camouflage,都不是,后面發現,這個password中的密碼,是這個0.fat的隱藏密碼
這里就有一個新的知識點,不同的密碼盡然能開啟不同的盤瞬間智慧得到了升華。
安裝成功他是打不開的,我們只能通過winhex來查看磁盤,
不過winhex一定一定要管理員打開-》打開磁盤-》選擇磁盤-》找flag
很明顯的看到了flag后半段,
_and_corrupted_1nner_v0lume}
問題就來了,前半段了???
然后在重新找一下原來,就在0.fat里面
rctf{unseCure_quick_form4t_vo1ume
結合一下
rctf{unseCure_quick_form4t_vo1ume_and_corrupted_1nner_v0lume}
又掌握了新知識!