题目:
链接: https://pan.baidu.com/s/1IdhDQAv02nAz0H211BoVgA 提取码: axgp
做题时看到下载下来的600m,懵逼中,看到是img镜像文件当然想到的是利用diskgenuis恢复文件找特别文件再进行解密。
一直做不出,是我想的太简单了,昨天看了大佬写的wp,满怀敬佩的心复现一下
参考i春秋大佬:lem0n
实验用到的工具:
kali 渗透测试系统
easy_dump.img 内存镜像
Volatility Framework 内存取证工具
TestDisk 文件恢复工具
Volatility Framework:
volatility 框架是一款用于易失性内存取证的重量级框架。在该框架下我们可以完成许多取证的操作,获取我们想取得的信息。其支持的操作系统也非常广泛,同时支持 windows , linux, Mac OSX,甚至也支持 Android 手机使用ARM处理器的取证。因此,它也是所有网络取证爱好者的必学框架。
volatility 使用:
volatility -f <文件名> -–profile=<配置文件> <插件> [插件参数]
通过volatility --info获取工具所支持的profile,Address Spaces,Scanner Checks,Plugins
常用插件:
imageinfo:显示目标镜像的摘要信息,知道镜像的操作系统后,就可以在 –profile 中带上对应的操作系统
pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以
psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程
mendump:提取出指定进程,常用foremost 来分离里面的文件
filescan:扫描所有的文件列表
hashdump:查看当前操作系统中的 password hash,例如 Windows 的 SAM 文件内容
svcscan:扫描 Windows 的服务
connscan:查看网络连接
利用
volatility -f easy_dump.img imageinfo
查看镜像信息
根据
Suggested Profile(s)
值猜测他是Win7SP1x64,所以利用
--profile=Win7SP1x64
然后利用
volatility -f easy_dump.img --profile=Win7SP1x64 psscan
查看所有进程,通过所有进程来查看是否有可疑进程出现,进行进一步取证。
发现一个可疑进程,dumpit.exe
那就把它分离提取下来volatility -f '/root/Desktop/easy_dump.img' --profile=Win7SP1x64 memdump -p 2500 -D ./
看下这个进程有啥隐藏文件否,发现里面有个message.img
继续分析img文件,binwalk,foremost分析提取分离其中的文件,发现一个hint.txt
一堆坐标,利用脚本或者工具gnuplot可解出一个二维码
识别结果:
Here is the vigenere key: aeolus, but i deleted the encrypted message。
根据提示说用了vigenere并且key为aeolus,但是他删除了信息...
那么接下来就要用到
testdisk /dev/loop0
来进行文件恢复。
得到message.swp,源码得到一串密文
根据hint可知道是维吉尼亚加密,上面已得到key和密文,利用脚本进行解密即可
脚本如下
链接: https://pan.baidu.com/s/1ziHmHdSeQcVD03nbf-V4tA 提取码: 5x4w