BuuCTF難題詳解| Misc | V&N 2020 公開賽記憶體取證

阿新 • • 發佈：2020-10-29

題目介紹

這道題目，我們要在Buu上面做需要的步驟需要調整，先下載連結內容，然後在下載附加。

BuuCTF難題詳解| Misc | V&N 2020 公開賽記憶體取證

P1

我們使用volatility，進行映象分析

volatility -f mem.raw imageinfo

Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (xxxxxxx\[記憶體取證]volatility\mem.raw)
                      PAE type : PAE
                           DTB : 0x185000L
                          KDBG : 0x8176bbe8L
          Number of Processors : 2
     Image Type (Service Pack) : 0
                KPCR for CPU 0 : 0x8176cc00L
                KPCR for CPU 1 : 0x807ec000L
             KUSER_SHARED_DATA : 0xffdf0000L
           Image date and time : 2020-02-18 19:56:24 UTC+0000
     Image local date and time : 2020-02-19 03:56:24 +0800

這裡咋們知道了這個的系統是Win7SP1x86_23418

P2

檢視程序

volatility.exe -f mem.raw --profile=Win7SP1x86_23418 pslist

Volatility Foundation Volatility Framework 2.6
Offset(V)  Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit
---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0x829af8c0 System                    4      0    101      479 ------      0 2020-02-18 19:52:20 UTC+0000
0x83c4d948 smss.exe                280      4      2       30 ------      0 2020-02-18 19:52:20 UTC+0000
0x83cc8030 csrss.exe               376    352      9      453      0      0 2020-02-18 19:52:20 UTC+0000
0x844e4d40 wininit.exe             432    352      3       79      0      0 2020-02-18 19:52:20 UTC+0000
0x844d9608 csrss.exe               440    424     10      311      1      0 2020-02-18 19:52:20 UTC+0000
0x84d59d40 services.exe            488    432      7      209      0      0 2020-02-18 19:52:21 UTC+0000
0x8466f030 lsass.exe               520    432      7      595      0      0 2020-02-18 19:52:21 UTC+0000
0x8466f600 lsm.exe                 528    432     10      146      0      0 2020-02-18 19:52:21 UTC+0000
0x8465e3b0 winlogon.exe            536    424      4      115      1      0 2020-02-18 19:52:21 UTC+0000
0x846af568 svchost.exe             668    488     10      356      0      0 2020-02-18 19:52:21 UTC+0000
0x846c0728 svchost.exe             740    488      8      285      0      0 2020-02-18 19:52:21 UTC+0000
0x8861ead8 svchost.exe             804    488     21      467      0      0 2020-02-18 19:52:21 UTC+0000
0x846e6300 svchost.exe             860    488     23      487      0      0 2020-02-18 19:52:21 UTC+0000
0x846edb38 svchost.exe             884    488     39      988      0      0 2020-02-18 19:52:21 UTC+0000
0x847315c0 audiodg.exe             988    804      7      132      0      0 2020-02-18 19:52:21 UTC+0000
0x8475d728 svchost.exe            1060    488     15      557      0      0 2020-02-18 19:52:21 UTC+0000
0x846a4740 WUDFHost.exe           1164    860      9      202      0      0 2020-02-18 19:52:22 UTC+0000
0x847913f8 svchost.exe            1260    488     17      382      0      0 2020-02-18 19:52:22 UTC+0000
0x846a8348 spoolsv.exe            1372    488     13      300      0      0 2020-02-18 19:52:22 UTC+0000
0x84805318 svchost.exe            1432    488     20      314      0      0 2020-02-18 19:52:22 UTC+0000
0x848104a8 taskhost.exe           1480    488     10      211      1      0 2020-02-18 19:52:22 UTC+0000
0x84648560 taskeng.exe            1536    884      5       76      0      0 2020-02-18 19:52:23 UTC+0000
0x84885348 imdsksvc.exe           1720    488      3       41      0      0 2020-02-18 19:52:23 UTC+0000
0x848a3d40 coherence.exe          1760    488      6       62      0      0 2020-02-18 19:52:23 UTC+0000
0x848a8b38 prl_tools_serv         1796    488     11      160      0      0 2020-02-18 19:52:23 UTC+0000
0x848b2728 dwm.exe                1832    860      4       73      1      0 2020-02-18 19:52:23 UTC+0000
0x848c52e8 coherence.exe          1840   1760      4       40      1      0 2020-02-18 19:52:23 UTC+0000
0x848ca878 dllhost.exe            1880    488      8       97      0      0 2020-02-18 19:52:23 UTC+0000
0x848df648 prl_tools.exe          1904   1796     10      144      1      0 2020-02-18 19:52:23 UTC+0000
0x848e4578 explorer.exe           1964   1808     31      873      1      0 2020-02-18 19:52:23 UTC+0000
0x84871b10 dllhost.exe             824    488     17      204      0      0 2020-02-18 19:52:24 UTC+0000
0x8486cd40 svchost.exe             696    488     11      307      0      0 2020-02-18 19:52:24 UTC+0000
0x848b3a00 prl_cc.exe             2204   1904     32      385      1      0 2020-02-18 19:52:24 UTC+0000
0x84992d40 msdtc.exe              2536    488     15      155      0      0 2020-02-18 19:52:25 UTC+0000
0x83940728 sppsvc.exe             2792    488      4      148      0      0 2020-02-18 19:52:28 UTC+0000
0x839cab10 SearchIndexer.         2868    488     13      588      0      0 2020-02-18 19:52:30 UTC+0000
0x83c0ad40 TrueCrypt.exe          3364   3188      7      388      1      0 2020-02-18 19:52:44 UTC+0000
0x837f5d40 notepad.exe            3552   1964      2       61      1      0 2020-02-18 19:53:07 UTC+0000
0x82a7e568 iexplore.exe           3640   1964     16      468      1      0 2020-02-18 19:53:29 UTC+0000
0x847c8030 iexplore.exe           3696   3640     25      610      1      0 2020-02-18 19:53:29 UTC+0000
0x848a7030 mspaint.exe            2648   1964     18      383      1      0 2020-02-18 19:54:01 UTC+0000
0x82b8bd40 svchost.exe            1660    488      7      112      0      0 2020-02-18 19:54:01 UTC+0000
0x83bf0030 mscorsvw.exe           2908    488      7       75      0      0 2020-02-18 19:54:24 UTC+0000
0x82bf4d40 dllhost.exe             628    668      6       86      1      0 2020-02-18 19:56:22 UTC+0000
0x82bf4768 dllhost.exe            1728    668      6       81      0      0 2020-02-18 19:56:22 UTC+0000
0x83922030 DumpIt.exe             1500   1964      2       39      1      0 2020-02-18 19:56:22 UTC+0000
0x82bf3408 conhost.exe            1872    440      2       51      1      0 2020-02-18 19:56:22 UTC+0000
0x82b85b40 WMIADAP.exe            1120    884      6       91      0      0 2020-02-18 19:56:23 UTC+0000
0x82a9fb38 WmiPrvSE.exe            684    668      8      119      0      0 2020-02-18 19:56:24 UTC+0000

在所有程序中我找到最可疑的幾個：

Offset(V)  Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit
---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0x83c0ad40 TrueCrypt.exe          3364   3188      7      388      1      0 2020-02-18 19:52:44 UTC+0000
0x837f5d40 notepad.exe            3552   1964      2       61      1      0 2020-02-18 19:53:07 UTC+0000
0x82a7e568 iexplore.exe           3640   1964     16      468      1      0 2020-02-18 19:53:29 UTC+0000
0x847c8030 iexplore.exe           3696   3640     25      610      1      0 2020-02-18 19:53:29 UTC+0000
0x848a7030 mspaint.exe            2648   1964     18      383      1      0 2020-02-18 19:54:01 UTC+0000
0x83922030 DumpIt.exe             1500   1964      2       39      1      0 2020-02-18 19:56:22 UTC+0000

以上程序比較可疑，

TrueCrypt 一個磁碟軟體
notepad 萬能的記事本
iexplore 瀏覽器
mspaint 畫圖
DumpIt 記憶體讀取工具

P3

我們先檢視瀏覽器記錄

volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory

發現沒有任何效果，我這邊使用取證大師

找到了一個這個，還有一種方法你要是時間夠多一個一個找

where is link?連結: https://pan.baidu.com/s/ 提取碼: heem
複製這段內容後開啟百度網盤手機App，操作更方便哦

獲得以上內容
可是，單單找這一段還是，不對的是無法開啟vol這個下載地址
這裡我們看一下提示

把重心放在notepad 這個上面，我們把這個下載下來

volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 -D ./

把他下載下來找一下

https://pan.baidu.com/share/init?surl=jAVwrRzIgW1QsLHidtzY_w
看一下之前獲得的提取碼
提取碼: heem

我們就可以下載附件vol了，應為現在百度雲盤關閉了，我們在中心放在這個vol檔案中。

P4

vol 我通過binwalk，volatility，發現都沒有反應，我查閱一下發現是一個加密的磁碟，需要這個工具EFDD(Elcomsoft Forensic Disk Decryptor)
我們先把mem.raw當中的TrueCrypt 給Dump，下載下來

volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3364 -D ./
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
Volatility Foundation Volatility Framework 2.6
************************************************************************Writing TrueCrypt.exe [ 3364] to 3364.dmp

1
2

3

4

5

6

7

8

9

P5

然後使用uOjFdKu1jsbWI8N51jsbWI8N5
來掛載一下
得到一個加密的zip，現在需要找一下密碼

P6

這裡我找了很久，發現了之前程序中有一個可以的畫板，正常怎麼可能會開畫板呢
我們先把畫板的給Dump下來

volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 2648 -D ./
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 Volatility Foundation Volatility
Framework 2.6
************************************************************************ Writing mspaint.exe [ 2648] to 2648.dmp

我們這時候需要一個位移軟體GIMP
再把2648.dmp 修改後綴 2648.data 然後就可以開啟軟體開始位移
我們一直嘗試
找到了一串密碼，為了更加清楚，我們通過旋轉檢視一下：

密碼：1YxfCQ6goYBD6Q
然後我們來開啟哪個zip吧

成功！

RoarCTF{wm_D0uB1e_TC-cRypt}

BuuCTF難題詳解| Misc | V&N 2020 公開賽記憶體取證

題目介紹

BuuCTF難題詳解| Misc | V&N 2020 公開賽記憶體取證

P1

P2

P3

P4

P5

P6

BuuCTF難題詳解| Misc | V&N 2020 公開賽記憶體取證

BuuCTF難題詳解| Misc | 我愛Linux

BuuCTF難題詳解| Misc | [湖南省賽2019]Findme

[V&N CTF 2022][MISC]仔細找找

詳解MySQL8.0&#8203; 字典表增強

十三屆全國大學生資訊大賽+強網杯+DASCTF八月V&N出題賽-刷題筆記

詳解vue v-model

SpringMVC之RequestMappingInfo詳解之合併&請求匹配&排序

詳解C# Protobuf如何做到0分配記憶體的序列化

詳解C語言-二級指標三種記憶體模型

BUUCTF Misc 二維碼詳解

位運算子n&（n-1)詳解與妙用

c#中(&&,||)與(&,|)的區別詳解

詳解MySQL資料型別DECIMAL(N,M)中N和M分別表示的含義

Python之Class&Object用法詳解

Python 函式list&read&seek詳解

詳解vue中v-bind:style效果的自定義指令

Java遞迴求和1+2+3+...+n例項詳解

C語言中指標 int p=0;和int p;*p=0;和”&“的關係和區別詳解

vue 使用v-for進行迴圈的例項程式碼詳解

BuuCTF難題詳解| Misc | V&N 2020 公開賽 記憶體取證

題目介紹

BuuCTF難題詳解| Misc | V&N 2020 公開賽 記憶體取證

P1

P2

P3

P4

P5

P6

相關推薦

BuuCTF難題詳解| Misc | V&N 2020 公開賽記憶體取證

BuuCTF難題詳解| Misc | V&N 2020 公開賽記憶體取證