BUUCTF: [V&N2020 公开赛]内存取证

https://buuoj.cn/challenges#[V&N2020%20%E5%85%AC%E5%BC%80%E8%B5%9B]%E5%86%85%E5%AD%98%E5%8F%96%E8%AF%81

这里贴网上看到的一位师傅这道题wp的思维导图，地址：https://blog.xiafeng2333.top/ctf-25/

查看镜像的Profile

volatility -f mem.raw imageinfo

查看进程

volatility -f mem.raw --profile=Win7SP1x86_23418 pslist

可疑进程：

• notepad.exe pid 3552
• TrueCrypt.exe pid 3364（虚拟加密盘加密程序）
• mspaint.exe pid 2648（Windows自带画图程序）
• iexplore.exe pid 3640/3696

从mspaint.exe开始，将该程序dump出来

volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 2648 --dump-dir=./

将2648.dmp重命名为2648.data，并使用Gimp(GUN Image Manipulation Program)打开

没有Gimp的话，安装命令如下：

sudo apt install gimp  gimp-help-en -y

使用Gimp打开后，将偏移量、宽度、高度调至大致如下：

Offset: 192671810
Width: 4608
Height: 500

1YxfCQ6goYBD6Q

接着看notepad.exe，将程序dump出来

volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 --dump-dir=./

使用editbox插件

volatility -f mem.raw --profile=Win7SP1x86_23418 editbox

同时得到下载链接和提取码

https://pan.baidu.com/share/init?surl=jAVwrRzIgW1QsLHidtzY_w
提取码: heem

不过这个链接失效了，所以题目放了附件VOL，直接下载即可

接着看TrueCrypt.exe，先dump出来

volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3364 --dump-dir=./

然后使用TrueCrypt的破解工具Elcomsoft Forensic Disk Decryptor

Elcomsoft Forensic Disk Decryptor CracKed By Hmily下载地址：https://pan.baidu.com/s/1DkUWloXZUBTEdSSl6fFn8Q

uOjFdKu1jsbWI8N51jsbWI8N5

然后使用VeraCrypt对VOL进行挂载，需要勾选TrueCrypt Mode

打开E盘，发现fffflag.zip，使用之前画图程序得到的密码解压

1YxfCQ6goYBD6Q

得到flag

flag{wm_D0uB1e_TC-cRypt}

最后

以上就是过时酒窝最近收集整理的关于BUUCTF: [V&N2020 公开赛]内存取证的全部内容，更多相关BUUCTF:内容请搜索靠谱客的其他文章。