2016-PCTF-内存取证

blog 416

题目附件📎:suspicion.7z

解压之后获取到mem.vmem和suspicion

mem.vmem是镜像文件,suspicion文件名中文意思是可疑。但是目前还不知道它有什么用

0x01 imageinfo获取镜像信息

vol.py -f mem.vmem imageinfo
2016-PCTF-内存取证

通过结果发现是一个WinXPSP2x86,一般我们看第一个结果就可以了。

之后我们在后面输入--profile=WinXPSP2x86 就可以使用插件了

0x02 pslist 查看进程列表

 vol.py -f mem.vmem --profile=WinXPSP3x86 pslist
2016-PCTF-内存取证

通过结果我们发现它运行了TrueCrypt磁盘加密工具。由此推断suspicion可能是被加密之后的文件

2016-PCTF-内存取证

0x03 memdump提取可疑进程

 vol.py -f mem.vmem --profile=WinXPSP3x86 memdump -p 2012 -D ./

-p 为要提取进程的PID
-D 将提取的进程保存的路径

由于是磁盘加密,那么它对应的Key应该会出现在内存中。于是我们将这个进程提取出来。使用Elcomsoft Forensic Disk Decryptor软件对加密文件进行解密。而这个Key我们需要在提取进程的文件中获取

0x04 Elcomsoft Forensic Disk Decryptor

我们打开软件之后选择Decrypt or mount disk(解密或挂载磁盘),之后点击下一步即可

2016-PCTF-内存取证

由于镜像中使用的是TrueCrypt加密工具。所以我们选择TrueCrypt

2016-PCTF-内存取证

我们在Open file处点击select选择被加密的文件suspicion

之后选择我们的Key,我们选择Memory dump 也就是从内存文件中加载Key(秘钥)

接下来选择我们从进程TrueCrypt.exe中导出来的文件之后点击下一页

2016-PCTF-内存取证

经过一段时间之后,Key成功被搜索了出来。我们这里不存储Key,于是我们取消勾选Save matching key,直接点击下一页。

2016-PCTF-内存取证

我们这里选择Mount Disk,直接挂载磁盘。

2016-PCTF-内存取证

软件默认为我们选择挂载到H盘,我们这里不需要做改动,接着点击mount

只有在我们的计算机中找到H盘。打开只有发现了flag文件

2016-PCTF-内存取证
2016-PCTF-内存取证
PCTF{T2reCrypt_15_N07_S3cu2e}

分享