2021[祥云杯]层层取证

题目附件📎：层层取证.zip

0x01 分析附件

经过解压之后,我们发现有一个磁盘文件的压缩包,即disk_image.rar和一个内存文件的压缩包memdump.rar

我们把两个都解压完成之后,得到一个memdump.mem内存文件和一个disk_image文件夹

打开disk_image文件夹之后,发现一个txt,通过文件的内容我们可以知道它是通过AccessData® FTK® Imager 4.1.1.1进行硬盘镜像的制作。

我们先使用volatility简单的分析一下内存文件

0x02 imageinfo 分析内存镜像

vol.py -f memdump.mem imageinfo

0x03 pslist 分析进程列表

在使用pslist之前,我们需要添加profile=imageinfo获取操作系统信息。即profile=Win7SP1x64

vol.py -f memdump.mem --profile=Win7SP1x64 pslist

通过结果得出,发现了运行的可疑程序即StikyNot.exe(Windows便签)和notepad.exe(Windows记事本)。

0x04 editbox 查看记事本内容

vol.py -f memdump.mem --profile=Win7SP1x64 editbox

发现hint：你连电脑都不能仿真打开，还想要flag?

也就是说你是菜鸡

当然并不是,我们下一步的思路尝试仿真。

0x04.2 查看便签内容

我们先将便签进程进行导出(因为作者不会使用插件查看便签的内容)

vol.py -f memdump.mem --profile=Win7SP1x64 memdump -p 2572 -D ./
-p 进程ID  也就是StikyNot.exe的PID
-D 导出到哪里 

使用file命令查看文件类型,发现是data文件,将其重命名为2572.data

之后使用winhex打开进行分析,我这里使用的是Hex Fiend也可以使用010edit,通过分析发现,里面有两处可疑的编码,经过百度搜索,发现里面使rtf格式的编码。

我们尝试将两处文件编码拷贝至文本文档中,之后将.txt修改为.rtf。

之后使用word打开,发现里面了word文档的密码。考虑可能存在word文档加密,这里先记着。

打开另一个文档发现，题目可能存在文件加密、磁盘加密、电脑加密。

0x05 仿真

仿真是不会仿真的,这辈子都不会仿真的

参考了大佬的博客：系统镜像动态仿真

进入disk_image目录,找到Forensic_image.001，之后进行解压。

遇到的坑：使用360压缩直接解压Forensic_image.001，会出现4个文件，分别是0.ntfs、1.ntfs、2.ntfs、3

这种情况下是不能进行仿真的。(我没成功)

于是在群里问了大佬：

他们使用的是Winrar、BandiZip解压会得到一个名为Forensic_image文件。

于是我**了360压缩

仿真需要的软件：AccessData FTKImager 和 VMware Workstation 以及Passware Kit

0x05.2 挂载磁盘镜像

打开 AccessData FTKImager

在菜单中点击文件选择Image Mounting

选择我们的Forensic_image,之后设置Block Device/Writable,最后点击Mount

我们的这挂载的磁盘名为PhysicalDrive2(后面会有用)

0x06 Vmware 创建虚拟机

打开VMware Workstation 在菜单中选择文件，选择新建虚拟机

之后的操作看图

继续看图

再看图

注意：这里的第二张图中的设备要选择你挂载的镜像名称，我这里为PhysicalDrive2

创建完成之后，我们点击开启虚拟机

看到这个界面的话，我们点击Enter键

到登录界面的时候，发现需要密码

0x07 获取登录密码

查看注册表配置单元

vol.py -f memdump.mem --profile=Win7SP1x64 hivelist

我们这里找到SYSTEM和SMA的虚拟地址

0x07.2 hashdump获取密码

vol.py -f memdump.mem --profile=Win7SP1x64 hashdump -y 0xfffff8a000024010 -s 0xfffff8a000ce7410
-y 为SYSTEM的虚拟地址
-s 为SAM的虚拟地址

获取到用户XiaoMing的密码hash值：92efa7f9f2740956d51157f46521f941

发现需要购买，那我这里就不购买了，使用别的方法。

0x07.3 Passware Kit获取登录密码

打开Passware Kit，选择Memory Analysis(内存分析)

点击Browse，选择我们的memdump.mem内存文件(如果找不到memdump.mem请打开All Files)

之后点击下一步。

点击Passwords Found选项卡，之后就是等。

过了段时间发现，成功从内存中获取到了用户XiaoMing的登录密码即xiaoming_handsome

0x08 仿真 进入到桌面

发现桌面有便签和flag文本文件，里面内容对我们来说已经不大重要了。因为前面已经获取到了便签的内容

之后按Win键盘+R键 进入到运行界面 键入recent之后点击确定。这一步即查看最近访问文档的快捷方式。

发现访问了一个流量数据包即1，并且访问了一个叫BitLocker的文本文档

由此推测可能存在BitLocker磁盘加密

我们点击开始选择控制面板

点击系统和安全，之后点击BitLocker驱动器加密

之后我们发现F盘被加密，点击解密驱动器，选择键入恢复密钥，之后选择我忘记了密码

此时需要一个恢复密钥，开始是想到了刚刚的文档名称。即BitLocker恢复密钥 xxxxxxxxxxxxxxxxxxxx

但是不管我怎么copy，都复制不完整，尝试输入发现某些字符不能输入。判断可能不是这个。。

于是我们使用使用Passware Kit尝试。

0x09 Passware Kit 获取恢复密钥

打开Passware Kit 找到Recover File Password(恢复文件密码)点击Browser for file

之后选择我们的Forensic_image硬盘镜像文件

选择I have memory image(我有内存文件)

Encrypted BitLocker volume image file(加密的BitLocker卷映像文件)不用选择，刚刚已经选择过了

Disk partition (磁盘分区)选择200MB的

physical memory image file(物理内存镜像文件) 选择我们的memdump.mem

Destination file(目标文件)：默认即可

之后点击DECRYPTA(解密)

点击Password Found选项卡

经过一段时间的等待后，从内存中发现了恢复文件的KEY

549714-116633-006446278597-176000-708532-618101-131406549714-116633-006446278597-176000-708532-618101-131406

键入恢复密钥之后拥有了驱动器的暂时访问权，点击完成

0x10 流量包分析

经过解密之后，成功进入了F盘，发现里面有个流量包

使用wireshark打开进行分析

大概看了一下，发现并没有什么有用的信息。。于是使用了wireshark的搜索功能

因为前面我们得到了word文档的加密密码。我们判断可能会存有.docx结尾的文件

点击放大镜选择分组字节流选择字符串键入.docx

通过搜索发现，有一个flag.docx的文件

我们在这个UDP数据包处右键追踪流，选择UDP流

通过追踪数据流的文件头发现，是一个rar的压缩包

我们点击原始数据，之后点击另存为，将其存储一个以.rar为后缀的文件，之后点击保存

尝试解压这个rar压缩包

发现需要密码， 但是我们也得到了提示：与开机密码相同 也就是xiaoming_handsome

解压之后发现是一个flag.docx文件，点击之后发现需要密码。。

不过这个密码在前面的便签里面已经得到了，直接输入就行了。即xiaoming1314

打开之后发现了flag

flag{9ca871b668f2-b668-097c-cbm8-9op404c891e2}