1.题目
flag由三个部分组成:
1.默认浏览器(请给出在注册表中可证明它是默认浏览器的对应的值,如:ie.http)
2.默认浏览器版本(如:11.0.9600.18978)
3.默认浏览器中用户浏览次数最多的url(如:https://www.bilibili.com/)
三部分使用 _ 进行拼接,拼接如下:
ie.http_11.0.9600.18978_https://www.bilibili.com/
拼接后将以上所得字符串进行md5,即为flag,最终格式为flag{xxxxxx}
2.解题
分析镜像版本
volatilityworkbench>volatility -f browser.raw imageinfo
嗯....待会配置一个cmder
pslist 查看进程
volatility -f browser.raw --profile=win7sp1x86_23418 pslist>1.txt
发现有很多浏览器,但是我们只需要默认浏览器
注册表中查找默认浏览器值
参考高手文章: http://www.360doc.com/content/14/0216/23/13813789_353089973.shtml
hivelist
volatility hivelist -f browser.raw --profile=win7sp1x86_23418
导出注册表
volatility -f browser.raw --profile=win7sp1x86_23418 hivedump -o 0x8f484880 >3.txt
我的方法是导出所有注册表
volatility -f browser.raw --profile=win7sp1x86_23418 dumpregistry --dump-dir=c:\share
用wrr打开相应偏移量的注册表文件找到键值
msedgehtm
也可以通过命令打印键值
volatility -f browser.raw --profile=win7sp1x86_23418 printkey -k 'software\microsoft\windows\shell\associations\urlassociations\http\userchoice'
根据进程列表中的 edge浏览器的pid,随便调取一个msedge.exe
volatility -f browser.raw --profile=win7sp1x86_23418 procdump -p 3704 -d c:/share/
右击属性
92.0.902.78
做法2:
volatility -f browser.raw --profile=win7sp1x86_23418 filescan>4.txt
edge浏览器浏览记录保存在webassistdatabase
在filescan的结果中查找
0x000000007d95f640 8 0 rw---- \device\harddiskvolume1\users\hp\desktop\webassistdatabase
导出这个文件
volatility -f browser.raw --profile=win7sp1x86_23418 dumpfiles -q 0x000000007d95f640 -d c:/share
用navicat打开
看微博次数最多,为3次,导出url
msedgehtm_92.0.902.78_https://weibo.com/login.php
flag{a7de3bb43d18196f4ca5570aa8755db9}
内存取证必看文章: https://cloud.tencent.com/developer/article/1813574