2018护网杯：easy_dump

一道内存取证的题目。

①查看镜像信息

 

 

 这里volatility推测这个应该是Win7SP1x64的内存

②hashdump

 

 ③尝试用kali的john工具去破解密码

 

 看起来是空密码

④查看进程

 

 出现了notepad.exe进程，PID为2580

⑤提取进程

 

 

 ⑥搜索一下flag

 

 

 可以看到关于flag的hint

⑦搜索一下图片

 

 

 可以看到只有一张图片，提取之

 

 

 ⑧foremost分析提取出来的notepad.exe进程

 

 

 ⑨分析一下压缩文件

 

 

 可以看到这两个压缩文件是一样的，所以只需要分析其中一个

 

 

 发现是一个filesystem，分离出来挂载之

 

 

 查看一下hint的内容

 

 

 应该是一系列的坐标，直接上脚本转换，转换之后得到一个二维码

 

 

 扫描之，得到一个信息

Here is the vigenere key: aeolus, but i deleted the encrypted message。

那么接下来用dickgenius挂载

 

 可以看到

 

 有个.swp文件，拖入winhex进行分析

 

 这段就是密文，直接根据之前的密码，进行解密

 

 flag到手