admin管理员组文章数量:1623599
一次2020蓝帽杯取证初赛题复现
检材:https://pan.baidu/s/1ibOdxyCWeC5x0DQKjwcz7w?pwd=vg6g
目录
- 计算机取证
- 1、现对一个windows计算机进行取证,请您对以下问题进行分析解答。从内存镜像中获得taqi7的开机密码是多少?(答案参考格式:abcABC123
- 法一:使用volatility
- 法二:使用Passware Kit Forensic
- 法三:使用取证软件的内存分析工具
- 2、制作该内存镜像的进程Pid号是多少?(答案参考格式:1024)
- 法一:vol
- 法二:使用取证大师的内存镜像解析工具
- 3、bitlokcer分区某office文件中存在的flag值为?(答案参考格式:flag{abcABC123})
- 第一步:解锁BitLocker锁
- 法一:使用Passware Kit Forensic
- 法二:使用取证大师的内存镜像解析工具
- 第二步:破解文档密码
- 4、TrueCrypt加密中存在的flag值为?(答案参考格式:flag{abcABC123})
- 法一:使用Passware Kit Forensic
- 法二:之前用内存分析工具导出过TrueCrypt的密钥文件
计算机取证
1、现对一个windows计算机进行取证,请您对以下问题进行分析解答。从内存镜像中获得taqi7的开机密码是多少?(答案参考格式:abcABC123
提到的是内存镜像,那么就是对1.dmp文件进行分析
法一:使用volatility
查看内存信息
vol.py -f 1.dmp imageinfo
获取密码
vol.py -f 1.dmp --profile=Win7SP1x64 hashdump
解后面的哈希值
或者使用mimikatz
插件
vol.py -f 1.dmp --profile=Win7SP1x64 mimikatz
注意:要使用root用户
法二:使用Passware Kit Forensic
法三:使用取证软件的内存分析工具
anxinqi
2、制作该内存镜像的进程Pid号是多少?(答案参考格式:1024)
通过搜索我们可以知道,制作内存镜像的进程有:
dd命令
Win32dd
Fmem
LIME
Magnet RAM Capture
法一:vol
查看进程:
vol.py -f 1.dmp --profile=Win7SP1x64 pslist
制作内存镜像的是MangetRAMCapture
,PID为2192
法二:使用取证大师的内存镜像解析工具
2192
3、bitlokcer分区某office文件中存在的flag值为?(答案参考格式:flag{abcABC123})
第一步:解锁BitLocker锁
法一:使用Passware Kit Forensic
解密磁盘 --> 解密BitLocker卷
破解出了恢复密钥,还有已经被解了BitLocker锁的镜像
直接导入镜像即可,已经不用输入密钥
法二:使用取证大师的内存镜像解析工具
把检材G.E01进行自动取证,接着分析内存检材
发现了BitLocker密钥,对其进行导出
还有一个TrueCrypt密钥文件,导出
用密钥文件进行BitLocker的解密
解锁之后再次进行一次取证
发现了3个加密文件、一个字典
第二步:破解文档密码
用他给的字典进行爆破
使用Passware Kit Forensic
或者aopr
这里使用前者
添加字典
加入字典就可以了
进行自定义破解
添加攻击方式,找到刚刚新加的字典
移到首位
当然也可以通过跳过本轮攻击,跳到字典的那个位置
688561
打开文档并没有看到flag
接着解密ppt
287fuweiuhfiute
flag{b27867b66866866686866883bb43536}
4、TrueCrypt加密中存在的flag值为?(答案参考格式:flag{abcABC123})
可以确定文件是新建文本文档.txt
就是要解密的
法一:使用Passware Kit Forensic
解密后拿到了无加密的镜像
直接将镜像导入即可
法二:之前用内存分析工具导出过TrueCrypt的密钥文件
用它来直接进行解密
有一个加密的压缩包,并且写着可以快速解密,直接进行爆破即可
991314
flag{1349934913913991394cacacacacacc}
版权声明:本文标题:2022蓝帽杯取证初赛——计算机取证 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1728894018a1178213.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论