2021[祥云杯]层层取证

blog 662

题目附件📎:层层取证.zip

0x01 分析附件

经过解压之后,我们发现有一个磁盘文件的压缩包,即disk_image.rar和一个内存文件的压缩包memdump.rar

2021[祥云杯]层层取证

我们把两个都解压完成之后,得到一个memdump.mem内存文件和一个disk_image文件夹

打开disk_image文件夹之后,发现一个txt,通过文件的内容我们可以知道它是通过AccessData® FTK® Imager 4.1.1.1进行硬盘镜像的制作。

2021[祥云杯]层层取证

我们先使用volatility简单的分析一下内存文件

0x02 imageinfo 分析内存镜像

vol.py -f memdump.mem imageinfo
2021[祥云杯]层层取证

0x03 pslist 分析进程列表

在使用pslist之前,我们需要添加profile=imageinfo获取操作系统信息。即profile=Win7SP1x64

vol.py -f memdump.mem --profile=Win7SP1x64 pslist
2021[祥云杯]层层取证

通过结果得出,发现了运行的可疑程序即StikyNot.exe(Windows便签)notepad.exe(Windows记事本)

0x04 editbox 查看记事本内容

vol.py -f memdump.mem --profile=Win7SP1x64 editbox
2021[祥云杯]层层取证

发现hint:你连电脑都不能仿真打开,还想要flag?

也就是说你是菜鸡

当然并不是,我们下一步的思路尝试仿真

0x04.2 查看便签内容

我们先将便签进程进行导出(因为作者不会使用插件查看便签的内容)

vol.py -f memdump.mem --profile=Win7SP1x64 memdump -p 2572 -D ./
-p 进程ID  也就是StikyNot.exe的PID
-D 导出到哪里 

使用file命令查看文件类型,发现是data文件,将其重命名为2572.data

2021[祥云杯]层层取证

之后使用winhex打开进行分析,我这里使用的是Hex Fiend也可以使用010edit,通过分析发现,里面有两处可疑的编码,经过百度搜索,发现里面使rtf格式的编码

2021[祥云杯]层层取证
2021[祥云杯]层层取证

我们尝试将两处文件编码拷贝至文本文档中,之后将.txt修改为.rtf

2021[祥云杯]层层取证

之后使用word打开,发现里面了word文档的密码。考虑可能存在word文档加密,这里先记着。

打开另一个文档发现,题目可能存在文件加密磁盘加密电脑加密

2021[祥云杯]层层取证

0x05 仿真

仿真是不会仿真的,这辈子都不会仿真

参考了大佬的博客:系统镜像动态仿真

进入disk_image目录,找到Forensic_image.001,之后进行解压。

遇到的坑:使用360压缩直接解压Forensic_image.001,会出现4个文件,分别是0.ntfs、1.ntfs、2.ntfs、3

2021[祥云杯]层层取证

这种情况下是不能进行仿真的。(我没成功)

于是在群里问了大佬:

他们使用的是Winrar、BandiZip解压会得到一个名为Forensic_image文件。

2021[祥云杯]层层取证

于是我**了360压缩

仿真需要的软件:AccessData FTKImager 和 VMware Workstation 以及Passware Kit

0x05.2 挂载磁盘镜像

打开 AccessData FTKImager

在菜单中点击文件选择Image Mounting

2021[祥云杯]层层取证

选择我们的Forensic_image,之后设置Block Device/Writable,最后点击Mount

我们的这挂载的磁盘名为PhysicalDrive2(后面会有用)

2021[祥云杯]层层取证

0x06 Vmware 创建虚拟机

打开VMware Workstation 在菜单中选择文件,选择新建虚拟机

之后的操作看图

2021[祥云杯]层层取证

继续看图

2021[祥云杯]层层取证

再看图

注意:这里的第二张图中的设备要选择你挂载的镜像名称,我这里为PhysicalDrive2

2021[祥云杯]层层取证
2021[祥云杯]层层取证

创建完成之后,我们点击开启虚拟机

2021[祥云杯]层层取证

看到这个界面的话,我们点击Enter键

2021[祥云杯]层层取证

登录界面的时候,发现需要密码

2021[祥云杯]层层取证

0x07 获取登录密码

查看注册表配置单元

vol.py -f memdump.mem --profile=Win7SP1x64 hivelist

我们这里找到SYSTEMSMA的虚拟地址

2021[祥云杯]层层取证
0x07.2 hashdump获取密码
vol.py -f memdump.mem --profile=Win7SP1x64 hashdump -y 0xfffff8a000024010 -s 0xfffff8a000ce7410
-y 为SYSTEM的虚拟地址
-s 为SAM的虚拟地址
2021[祥云杯]层层取证

获取到用户XiaoMing的密码hash值92efa7f9f2740956d51157f46521f941

发现需要购买,那我这里就不购买了,使用别的方法

2021[祥云杯]层层取证

0x07.3 Passware Kit获取登录密码

打开Passware Kit,选择Memory Analysis(内存分析)

2021[祥云杯]层层取证

点击Browse,选择我们的memdump.mem内存文件(如果找不到memdump.mem请打开All Files)

2021[祥云杯]层层取证

之后点击下一步。

点击Passwords Found选项卡,之后就是等。

过了段时间发现,成功从内存中获取到了用户XiaoMing的登录密码即xiaoming_handsome

2021[祥云杯]层层取证

0x08 仿真 进入到桌面

发现桌面有便签和flag文本文件,里面内容对我们来说已经不大重要了。因为前面已经获取到了便签的内容

2021[祥云杯]层层取证

之后按Win键盘+R键 进入到运行界面 键入recent之后点击确定。这一步即查看最近访问文档的快捷方式。

发现访问了一个流量数据包即1,并且访问了一个叫BitLocker的文本文档

由此推测可能存在BitLocker磁盘加密

2021[祥云杯]层层取证

我们点击开始选择控制面板

2021[祥云杯]层层取证

点击系统和安全,之后点击BitLocker驱动器加密

2021[祥云杯]层层取证

之后我们发现F盘被加密,点击解密驱动器,选择键入恢复密钥,之后选择我忘记了密码

2021[祥云杯]层层取证

此时需要一个恢复密钥,开始是想到了刚刚的文档名称。即BitLocker恢复密钥 xxxxxxxxxxxxxxxxxxxx

但是不管我怎么copy,都复制不完整,尝试输入发现某些字符不能输入。判断可能不是这个。。

于是我们使用使用Passware Kit尝试。

0x09 Passware Kit 获取恢复密钥

打开Passware Kit 找到Recover File Password(恢复文件密码)点击Browser for file

之后选择我们的Forensic_image硬盘镜像文件

2021[祥云杯]层层取证

选择I have memory image(我有内存文件)

Encrypted BitLocker volume image file(加密的BitLocker卷映像文件)不用选择,刚刚已经选择过了

Disk partition (磁盘分区)选择200MB

physical memory image file(物理内存镜像文件) 选择我们的memdump.mem

Destination file(目标文件):默认即可

之后点击DECRYPTA(解密)

2021[祥云杯]层层取证

点击Password Found选项卡

经过一段时间的等待后,从内存中发现了恢复文件的KEY

549714-116633-006446278597-176000-708532-618101-131406549714-116633-006446278597-176000-708532-618101-131406
2021[祥云杯]层层取证

键入恢复密钥之后拥有了驱动器的暂时访问权,点击完成

2021[祥云杯]层层取证

0x10 流量包分析

经过解密之后,成功进入了F盘,发现里面有个流量包

2021[祥云杯]层层取证

使用wireshark打开进行分析

大概看了一下,发现并没有什么有用的信息。。于是使用了wireshark的搜索功能

因为前面我们得到了word文档的加密密码。我们判断可能会存有.docx结尾的文件

点击放大镜选择分组字节流选择字符串键入.docx

通过搜索发现,有一个flag.docx的文件

2021[祥云杯]层层取证

我们在这个UDP数据包处右键追踪流,选择UDP流

2021[祥云杯]层层取证

通过追踪数据流的文件头发现,是一个rar的压缩包

2021[祥云杯]层层取证

我们点击原始数据,之后点击另存为,将其存储一个以.rar为后缀的文件,之后点击保存

2021[祥云杯]层层取证

尝试解压这个rar压缩包

发现需要密码, 但是我们也得到了提示:与开机密码相同 也就是xiaoming_handsome

2021[祥云杯]层层取证

解压之后发现是一个flag.docx文件,点击之后发现需要密码。。

不过这个密码在前面的便签里面已经得到了,直接输入就行了。即xiaoming1314

2021[祥云杯]层层取证

打开之后发现了flag

flag{9ca871b668f2-b668-097c-cbm8-9op404c891e2}

 

 

 

 

 

 

 

分享