主要最近发现自己的取证题目比较薄弱,于是拿小明同学们练练手。

1.热心助人的小明同学

这个很简单,只要装好vol2,然后lsadump看密码就好

先看操作版本

1
vol.py -f image.raw imageinfo
屏幕截图 2024-12-20 140254

看到操作版本是 Win7SP1x86_23418

然后直接lsadump就好

屏幕截图 2024-12-20 140511

密码:ZDFyVDlfdTNlUl9wNHNTdzByRF9IQUNLRVIh(开头的0x48不是密码)

所以flag:flag{ZDFyVDlfdTNlUl9wNHNTdzByRF9IQUNLRVIh}

2.擅长音游的小明同学

拿到一个chal_fixed.E01文件,使用FTK挂载 (最好用4.2版本的

在win7那个下面的root/users/desktop可以看到

屏幕截图 2025-01-04 210938

[!NOTE]

真相.txt

真相会不经意间流入日常的点点滴滴……
真相在哪里?

[!NOTE]

要开始了呦.txt

今天舞萌彩框了好开心啊o( ̄▽ ̄)ブ
我要把这一刻用照片保存下来
不过在拍摄rating变化的瞬间总感觉有什么东西藏进照片里了
打开也没发现什么异常,但是体积好像变大了一点
是错觉吗?

可以发现跟图片有关,而在照片文件里面找到ColorfulDog.jpg

屏幕截图 2025-01-04 211404

没啥思路了binwalk一下(感觉挺正常的

发现一个txt内容是:

听好了听好了听好了听好了听好了听好了听好了: 1919年8月10日,世界就此陷落, 陷落的世界都将迎来一场漩涡, 为这个世界带来有关弗拉格尚未知晓的真相。 但发掘真相的道路被加诸混沌的历练 世界的宽高未被正确丈量 当真相被混沌打乱时 真相将不复存在 也许,在世界的重置和轮回中能找到发现真相的方法…… 至此,尘埃落定 至此,一锤定音 #音游# #NewStarcaea# #Misc#

然后我们挂载这个E01,注意要在FTK上右键加载镜像,进行加载

屏幕截图 2025-01-05 132008

使用VM挂载一下,注意要用管理员运行。

这里要选择UEFI

屏幕截图 2025-01-05 132348

挂载出问题了。。。

3.擅长加密的小明同学

拿到了一个vhd和一个君は加密本当に上手だな.zip,解压得到一个raw文件

vhd双击打开发现要BitLocker解密,我们使用Elcomsoft Forensic Disk Decryptor

选择decrypt or mount disk / image file of disk\partition

屏幕截图 2025-01-05 144711

进行恢复,得到key:408320-285065-614779-610940-547107-218229-492195-125422

输入恢复密钥之后得到了一个flag.7z,解压需要密码。

7z在密码复杂的情况下几乎不可能被爆破出来,所以我们看raw文件。

查看操作版本

屏幕截图 2025-01-28 161649

查看有什么进程

屏幕截图 2025-01-28 161823

看到有一个mspaint.exe(画图进程),我们提取出来,使用 memdump:

屏幕截图 2025-01-28 162129

然后改后缀为data,拉入GIMP.

图像类型选择RGB透明,拉X,Y,Z,最后得到:

屏幕截图 2025-01-28 162730

压缩包密码:rxnifbeiyomezpplugho

解压出来得到:flag{5ZCb44Gv5Y+W6K+B5pys5b2T44Gr5LiK5omL}