最近偶然接觸到misc方向下的電子取證，然後找到一道2018護網杯的電子取證題目，然後把它重新做了一次
0x00 序言
何為電子取證？在做題過程中查詢查詢，沒有找到太好的中文解釋，於是直接上外網翻查
Computer forensics (also known as computer forensic science[1]) is a branch of digital forensic science pertaining to evidence found in computers and digital storage media. The goal of computer forensics is to examine digital media in a forensically sound manner with the aim of identifying, preserving, recovering, analyzing and presenting facts and opinions about the digital information. --來自https://en.wikipedia.org/wiki/Computer_forensics

取證目的包含身份鑑定，維護儲存資料，恢復被刪除資料，分析資料，以及把電子資訊裡面內含的一些資訊挖出來
電子取證在這個高速發展的網路環境下，顯得尤為重要，尤其是現在網路犯罪經常有，又難以追蹤，此時便體現出電子取證的重要性
扯遠了，還是看回這題
題目給了一個img映象檔案，名為easy_dump

0x01 對題目所給檔案的分析
此處涉及到電子取證常用的一個工具：volatility
這個工具功能廣泛得一批，但是今天我們只用到記憶體取證的功能
先用imageinfo檢視映象資訊，我們需要知道這個映象所用的系統是啥
python2 vol.py -f easy_dump.img imageinfo
為了寫得方便我把路徑省略了，重新做的時候需要加上路徑


可以看到在分析過後，出現了一些映象基本資訊，我們需要關注的是，它所用的系統，一般來說分析出來有很多結果，第一或第二個是概率最大的系統，此處我們取第一個Win7SP1x64
後面的指令我們需要用 --profile=Win7SPx64來指定，這樣才能繼續下面的步驟
然後我們掃描其程序，用psscan指令，看看裡面有什麼程序

程序有很多，逐一看看，發現有個notepad.exe記事本，裡面也許有我們需要的資訊，於是把它記憶體資訊匯出

可以看到我們目錄下多了一個2616.dmp檔案，這個就是我們匯出來的玩意兒~
然後我們直接點，檢索flag有關欄位
strings -e l 2616.dmp | grep "flag"

出來了很多很多關於flag的欄位估計是用來迷惑我們的，但是我們最需要的卻就在前三行，本以為滿心歡喜就到此結束，結果裡面是提示下一步的資訊草
也就是說放了個奇怪的jpg檔案，ok我們繼續找這個jpg檔案



找到，匯出，檢視，結果沒法看，圖片被拉伸得根本看不了

0x02 binwalk分析圖片及其後續
於是拿出今天第二個工具 binwalk，這個就很常規，基本misc基礎題也會用到
我們主要是分析這個圖片裡是否藏了檔案
binwalk (對應檔名)

0x03 恢復被刪除檔案

經過一番折騰反正還是不會，之後再補坑，先繼續下去草
此處得到重要資訊：flag被維吉尼亞加密，金鑰為aeolus，但是包含flag的檔案直接被刪了
此處我們需要恢復被刪除的檔案
也就是說message.img內有檔案被刪除

這時候用到我們的第三個工具testdisk
直接輸入testdisk message.img，會直接進入這個應用的操作介面

選中檔案，proceed進入

預設選None

然後我們就可以看到裡面有個ext2分割槽

我們之間選Lists，這個是用來列出所有檔案的

我們可以看到有個檔案顯示為紅色，這個就是被刪除的檔案，我們選中它，然後小寫c

指定要把這個檔案複製到哪個目錄，這裡我們直接預設，然後大寫C開始複製
複製完會提示成功，忘記截圖了
複製完事
然後我們直接string檢視這個被刪除檔案內的內容

0x04 維吉尼亞解密，得到flag
看到最後一行，就你懂我意思吧

這題主要難點在於對三個工具的運用
還有tmd寫指令碼轉換

明天就去學python
本文參考：https://blog.csdn.net/weixin_42742658/article/details/106819187