【misc】[网刃杯 2022]玩坏的winxp --磁盘取证初探
附件下载时vmdk文件https://img2023.cnblogs.com/blog/3310839/202312/3310839-20231212214154628-18217327.png
首先尝试了vm虚拟机挂载,但是失败了,后面了解到winhex也可以挂载vmdk文件,这里我是使用DG进行磁盘分析
https://img2023.cnblogs.com/blog/3310839/202312/3310839-20231212214427781-1689590443.png
挂载后,根据这个路径\Documents and Settings\Administrator\桌面\10个t的学习资料查找,可以看到有五张图片
https://img2023.cnblogs.com/blog/3310839/202312/3310839-20231212214605597-1479728531.png
导出五张图片,binwalk看一下,在第五张图片中分离得到压缩包
https://img2023.cnblogs.com/blog/3310839/202312/3310839-20231212214723332-2123176195.png
打开这个flag.png
https://img2023.cnblogs.com/blog/3310839/202312/3310839-20231212214745154-1820798550.png
接着对这个flag.png进行binwalk分离的话还可以得到一个加密的压缩包
https://img2023.cnblogs.com/blog/3310839/202312/3310839-20231212214911208-1679512354.png
这里有个提示,戴围脖的软件,初步判断是qq,然后没找到qq,但是有个firefox文件夹
https://img2023.cnblogs.com/blog/3310839/202312/3310839-20231212215150659-1479941988.png
判断应该是要找有关qq的历史记录,记录存在于下面这sqlite文件
https://img2023.cnblogs.com/blog/3310839/202312/3310839-20231212215342644-1861901957.png
sqlite文件这里使用SQLiteStudio进行打开
https://img2023.cnblogs.com/blog/3310839/202312/3310839-20231212215605697-2022009047.png
找到了qq号,查看其qq空间
https://img2023.cnblogs.com/blog/3310839/202312/3310839-20231212215649777-1915045597.png
解密这段md5
https://img2023.cnblogs.com/blog/3310839/202312/3310839-20231212215710909-1578066034.png
即可得到压缩密码,打开压缩包,里面的png就是flag
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]