ctfshow电子取证JiaJia-CP-1

JiaJia-CP-1

【题目描述】：这是部分人熟知的刘佳佳同学的电脑，她今年21岁已在公司里实习。但是佳佳经常摸鱼被老板训斥说："你怎么摸得下去的"。因此佳佳还会经常将未完成的工作带到家里去完成(老板不留她加班属实有点离谱。但最近佳佳一天摸鱼的时间达到了25小时，这令老板非常不爽。于是🐕老板悄悄的植入了一个软件并在后台获取了佳佳电脑的内存信息。由于老板也是个懒🐕于是叫你来找一下老板想要的佳佳电脑的信息。作为十年老粉的CTFer们如果不是因为要找到flag一定不想帮老板来看佳佳的电脑内存信息吧，于是你也只能来帮助老板寻找佳佳电脑里的信息。电脑里面没有奇奇怪怪的东西，不要乱翻浪费时间

1.佳佳的电脑用户名叫什么(即C:\Users{name})
2.最后一次运行计算器的时间？(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)
flag格式为ctfshow{md5(A1_A2)}， format:ctfshow{ljj_2021-12-12_07:13:26}=ctfshow{c3cf135599d338093cbd2b578065be89}


用volatility打开题目镜像文件，使用命令python3 vol.py -f JiaJia_Co.raw windows.info查看系统基本信息。

从NTbuildLab可以看出镜像的操作系统信息：7601.24384.amd64fre.win7sp1_ldr_，表示为64位的win7系统，即profile为Win7SP1x64
（不过鉴于我用的是volatility3所以不用profile参数也可以）（笑）




要知道用户名，我们可以通过·user·目录知道，输入命令：python3 vol.py -f JiaJia_Co.raw filescan 进行文件扫描

得到用户名JiaJia。




要知道最后一次运行计算器（calc.exe）的时间，我们也许可以从任务进程中搜寻。命令:python3 vol.py -f JiaJia_Co.raw windows.pslist查看任务进程

在里面并没有发先clac.exe的信息，推测该任务已被结束。
在wp里看到有一个这样的命令timeliner，使用:python3 vol.py -f JiaJia_Co.raw timeliner|findstr "calc.exe"

timeliner：volatility中的一个时间线分析插件，用于从内存镜像中提取系统活动的时间戳信息

另外这个也能用userassist来看。

UserAssist 是 Windows 操作系统注册表中的一个键值，它主要用于记录用户在系统中的操作相关信息。它可以帮助系统（以及第三方工具）了解用户的软件使用习惯等相关数据。UserAssist 会记录用户打开应用程序的频率等信息。例如，当你多次打开某个办公软件，如 Microsoft Word，系统会在 UserAssist 键下记录相关的信息，包括程序的路径、打开的次数以及最后一次打开的时间等细节。这对于系统了解用户最常使用的软件非常有帮助.

使用命令python3 vol.py -f JiaJia_Co.raw UserAssist|findstr "calc.exe"

从上面两个方法我们都可以知道最后一次运行计算器的时间为2021-12-10 12:15:47.000000 UTC，注意这个UTC，它和我们通常用的北京时间相差了8个小时，所以时间为20：15：47

UTC（Coordinated Universal Time）是全球通用的标准时间基准，用于协调不同时区的系统时间。

所以本题A1:JiaJia，A2：2021-12-10_20:15:47，md5加密后得到flag:`ctfshow{079249e3fc743bc2d0789f224e451ffd}`