2022蓝帽杯取证部分复盘学习
手机取证
手机取证_1
使用其文件自带盘古石查看器打开搜索该图片查看其分辨率即可
手机取证_2
搜索关键字“单号”在Skype群聊中即可得到flag
计算机取证
计算机取证_1
使用volatility先查进程号
再找出 system和SAM 的 virtual 地址
使用 hashdump -y SYSTEM_virtual -x SAM_virtual.
看到taqi7的哈希加密后的开机密码了,拿到在线解密网站解
解密后即为flag
计算机取证_2
使用volatility,pslist查看进程,看到MagnetRamCaptu
进程Pid:2192
计算机取证_3
取证大师打开,提示存在BitLocker加密
使用EFDD破解密钥(当然也可以使用取证大师自带的内存镜像解析工具
该盘中内容如下:
中间两个office文件进行了加密,但给了字典,使用passware爆破(Bitlocker的密钥也可以用passware爆破,但个人感觉EFDD要更快些
得到密码,分别打开
得到flag
计算机取证_4
打开取证大师,使用其工具集中的内存解析软件
找到密钥
结合上一题容器中最后一个没有利用上的文档,可能就是这一题的容器,导出并用取证大师打开
发现哈哈哈.zip,文件存在加密,使用ARCHPR
打开后得到flag
程序分析
程序分析_1
使用雷电智能分析
看到包名
程序分析_2
jadx-gui中查看AndroidManifest.xml,发现入口
程序分析_3
结合上一题,全局搜索MainActivity
找到网站服务器地址密文
程序分析_4
这个题,不是很懂,答案就是类名a
网站取证
网站取证_1
D盾扫描www文件
找到马了
网站取证_2
跟进my_encrypt()函数,小修一下运行即可
网站取证_3
全局搜索关键字money
发现有个对money加密的encrypt函数,点进去
发现上面的encrypt()函数及盐值
网站取证_4
呃呃,我还在研究爬虫怎么写TAT
浙公网安备 33010602011771号