最近参加了45届世界技能大赛的山东选拔赛,样题里有一个题如下:
师傅好不容易拿到了压缩包的密码,刚准备输入,电脑蓝屏 了。。。
= =",题意简单明了,易于理解。一看就是内存取证的题并且已经有了内存转储文件了。
废话不多说,拿到hint就开始动手吧,先把文件下载下来,发现是一个7z的压缩包,放进kali解压
解压以后得到一个flag,看样子这个就是内存转储文件了,直接用volatility分析一下
volatility -f flag imageinfo
系统信息为WinXPSP2x86
获得系统信息就开始查师傅的压缩包密码,题意说刚准备输入,说明这个passwd当前已经打开过了,或者已经在剪切板里存放
先看一下剪切板中有没有数据
volatility -f flag --profile=WinXPSP2x86 clipboard
结果得到了一串数据,分析以后发现有一条数据疑似passwd,copy下来
现在有了密码,但是没有压缩文件,再查一下内存中缓存的文件
volatility -f flag --profile=WinXPSP2x86 filescan
直接被数据刷屏了= =
过滤一下
volatility -f flag --profile=WinXPSP2x86 filescan | grep rar
得到了flag.rar
进行解压缩,输入密码,得到flag
sg