1.題目
flag由三個部分組成:
1.預設浏覽器(請給出在系統資料庫中可證明它是預設浏覽器的對應的值,如:ie.http)
2.預設浏覽器版本(如:11.0.9600.18978)
3.預設浏覽器中使用者浏覽次數最多的url(如:https://www.bilibili.com/)
三部分使用 _ 進行拼接,拼接如下:
ie.http_11.0.9600.18978_https://www.bilibili.com/
拼接後将以上所得字元串進行md5,即為flag,最終格式為flag{xxxxxx}
2.解題
分析鏡像版本
volatilityworkbench>volatility -f browser.raw imageinfo
嗯....待會配置一個cmder
pslist 檢視程序
volatility -f browser.raw --profile=win7sp1x86_23418 pslist>1.txt
發現有很多浏覽器,但是我們隻需要預設浏覽器
系統資料庫中查找預設浏覽器值
參考高手文章: http://www.360doc.com/content/14/0216/23/13813789_353089973.shtml
hivelist
volatility hivelist -f browser.raw --profile=win7sp1x86_23418
導出系統資料庫
volatility -f browser.raw --profile=win7sp1x86_23418 hivedump -o 0x8f484880 >3.txt
我的方法是導出所有系統資料庫
volatility -f browser.raw --profile=win7sp1x86_23418 dumpregistry --dump-dir=c:\share
用wrr打開相應偏移量的系統資料庫檔案找到鍵值
msedgehtm
也可以通過指令列印鍵值
volatility -f browser.raw --profile=win7sp1x86_23418 printkey -k 'software\microsoft\windows\shell\associations\urlassociations\http\userchoice'
根據程序清單中的 edge浏覽器的pid,随便調取一個msedge.exe
volatility -f browser.raw --profile=win7sp1x86_23418 procdump -p 3704 -d c:/share/
右擊屬性
92.0.902.78
做法2:
volatility -f browser.raw --profile=win7sp1x86_23418 filescan>4.txt
edge浏覽器浏覽記錄儲存在webassistdatabase
在filescan的結果中查找
0x000000007d95f640 8 0 rw---- \device\harddiskvolume1\users\hp\desktop\webassistdatabase
導出這個檔案
volatility -f browser.raw --profile=win7sp1x86_23418 dumpfiles -q 0x000000007d95f640 -d c:/share
用navicat打開
看微網誌次數最多,為3次,導出url
msedgehtm_92.0.902.78_https://weibo.com/login.php
flag{a7de3bb43d18196f4ca5570aa8755db9}
記憶體驗證必看文章: https://cloud.tencent.com/developer/article/1813574