内存取证闯关Memlabs-4

MemLabs Lab 4 - Obsession

挑战描述

My system was recently compromised. The Hacker stole a lot of information but he also deleted a very important file of mine. I have no idea on how to recover it. The only evidence we have, at this point of time is this memory dump. Please help me.

我的系统最近遭到入侵。黑客窃取了很多信息，但他也删除了我的一个非常重要的文件。我不知道如何恢复它。目前，我们拥有的唯一证据是这个内存转储。请帮助我。

Note: This challenge is composed of only 1 flag.

注意：此挑战仅由 1 个flag组成。

The flag format for this lab is: inctf{s0me_l33t_Str1ng}

本实验的标志格式为：inctf{s0me_l33t_Str1ng}

原下载链接：MemLabs_Lab4

备用下载链接请查看内存取证闯关Memlabs-1

解题步骤

通读题目，删除重要文件，那么我们的中心就放在要恢复这个重要文件

查看操作系统版本信息

vol.py -f MemoryDump_Lab4.raw imageinfo

使用mtfparser

在这里我们需要了解MFT表，NTFS文件系统包含一个称为主文件表或MFT，对于NTFS文件系统卷上每个文件，MFT中至少有一个条目，且文件大小在小于等于1024字节会直接存储在MFT表，如果超过1024字节，则该表将仅包含其位置信息。

如果直接查看实在是太多了，因此保存到文本里面

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 mftparser > 1.txt

那么我这里是怎么知道这个重要文件叫这个的呢，下面来详细说一说

我首先查看了cmd和控制台，然后又查看了进程列表

在使用cmdline和pslist查看时发现了explorer的相关进程（explorer指浏览器）

那么我们可以看看浏览器历史记录会不会提示信息

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 iehistory

查看到疑似文件secrets.txt、flag.txt.txt、Important.txt.txt等

这里也不用去检索+提取了，因为没几个可以，而且没有我们需要的相关信息，你们大可以试一试

这里要注意的就是，文件被删除了，因此我们不可能提取出来我们想要的文件

而文件不大于1024kb的会被存储在MFT中

在MFT表中搜索：Important.txt、Screenshot1.png，发现Important.txt有data数据，Screenshot1.png无data数据，同时也就看到了最开始的那张图片，data数据中

找到了我们需要的flag

替换空值，得到inctf{1_is_n0t_EQu4l_7o_2_bUt_th1s_d0s3nt_m4ke_s3ns3}