QWB 2021 MISC CipherMan
The attacker maliciously accessed the user's PC and encrypted specific volumes. How to decrypt the volume?
考點:volatility
1.將題目文件解壓
2.memory文件
根據memory文件名字嘗試使用volatility分析
這里有個坑:新版的(2019)之后的kali自身不帶volatility
python vol.py -f ~/CipherMan_/memory imageinfo
得到信息,是個win7鏡像
volatility一頓四處找,(不得不吐槽一下,這里啥提示都沒有,之前一直在瞎找)
最后經別人提醒,去查看Desktop目錄
這里有一部分信息並不是Desktop目錄下的,注意分辨
發現一個異類:
0x000000007e02af80 8 0 -W---- \Device\HarddiskVolume2\Users\RockAndRoll\Desktop\BitLocker 복구 키 168F1291-82C1-4BF2-B634-9CCCEC63E9ED.txt
根據介紹中的加密的提示可以定位到這個文件
將bitlocker文件dump
python vol.py -f ~/CipherMan_/memory --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007e02af80 -D /root/CipherMan_/
-Q:指定鏡像文件內的虛擬地址
-D:指定dump出來的文件保存路徑
將文件下載到本地查看(因為直接cat會亂碼)
用notepad++打開查看
猜測:221628-533357-667392-449185-516428-718443-190674-375100是BitLocal密碼
3.secret文件
先吧secret文件后綴改為vmdk文件(不要問怎么做到的,問就是試出來的),將secret.vmdk掛載,掛載后發現打不開,然后用M3 Bitlocker recovery去深度掃描硬盤,找到這個新掛載的分區
找到后輸入之前在memory找到的密碼,成功打開,然后找到flag
flag就是readme文件里面的那一大堆話,那就是flag