6 内存分析
题目描述
网管小王制作了一个虚拟机文件,让您来分析后作答:
6.1
虚拟机的密码是_____。(密码中为flag{xxxx},含有空格,提交时不要去掉)
解:
使用volatility加载mimikatz插件直接读密码
下载mimikatz插件
wget
https://raw.githubusercontent.com/RealityNet/hotoloti/master/volatility/mimikatz.py
将mimikatz插件复制到volatility的插件目录
cp mimikatz.py /usr/lib/python2.7/dist-packages/volatility/plugins/
获取登录密码
# 查看镜像信息 volatility -f Target.vmem imageinfo # 使用mimikatz跑密码 volatility -f Target.vmem --profile=Win7SP1x64 mimikatz
或者不用mimikatz
volatility -f Target.vmem --profile=Win7SP1x64 lsadump
flag
flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}
6.2
虚拟机中有一个某品牌手机的备份文件,文件里的图片里的字符串为_____。(解题过程中需要用到上一题答案中flag{}内的内容进行处理。本题的格式也是flag{xxx},含有空格,提交时不要去掉)
解:
filescan扫描文件
volatility -f Target.vmem --profile=Win7SP1x64 filescan
在CTF用户的桌面发现手机的备份文件
0x000000007fe72430 2 0 -W-r-- \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz\picture\storage\MediaTar\images\images0.tar.enc
将文件提取出来
volatility -f Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 -D /root/桌面/dmp/
由于华为手机助手加密的文件解密时需要依赖整个文件夹中的文件,只有一个images0.tar.enc是不行的。
我找到了另一个文件
0x000000007d8c7d10 4 0 R--r-d \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz.exe
提取出来的文件是符合需求的
使用360压缩工具查看file.None.0xfffffa80037e0af0.dat文件,里面就是我们需要的内容
解密工具
https://github.com/RealityNet/kobackupdec
工具一把梭,解密的密码按照前面txt提示把flag内容空格换成下划线,后面写文件夹的路径,再后面写导出文件的路径,导出文件的路径要写一个新的backup,工具会自动创建新的backup目录 将文件放进里面
python kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX "D:\file\work\2\HUAWEI P40_2021-aa-bb xx.yy.zz" D:\file\work\2\r\backup
执行完毕,文件已经创建了
images0.tar.enc变成了images0.tar
解压获取图片
flag
flag{TH4NK Y0U FOR DECRYPTING MY DATA}
