拿到raw文件拖到kali里，首先看鏡像信息、

volatility -f /root/mem.raw imageinfo

用建議的profile，Win7SP1x86。先查看下內(nèi)存中的進程

volatility -f /root/mem.raw pslist --profile=Win7SP1x86

有幾個進程比較值得關(guān)注

TrueCrypt.exe ---一款磁盤加密工具

notepad.exe ---windows里的記事本

mspaint.exe ---windows畫圖工具

DumpIt.exe ---內(nèi)存鏡像提取工具

用命令查看一下提取內(nèi)存時的內(nèi)存數(shù)據(jù)，發(fā)現(xiàn)noetepad和mspaint在內(nèi)存中都沒有數(shù)據(jù)

volatility -f /root/mem.raw --profile=Win7SP1x86 userassist

再掃描文件看看

volatility -f /root/mem.raw --profile=Win7SP1x86 filescan |grep -E 'png|jpg|gif|zip|rar|7z|pdf|txt|doc'

無標(biāo)題.png是windows畫圖工具的默認(rèn)文件名

把圖片dump下來

volatility -f /root/mem.raw --profile=Win7SP1x86 dumpfiles -Q 0x000000001efb29f8 --dump-dir=/root/111

應(yīng)該是密碼，先收著后面用

1YxfCQ6goYBD6Q

再掃描一下桌面文件看看

volatility -f /root/mem.raw --profile=Win7SP1x86 filescan | grep "Desktop"

dumpit.exe默認(rèn)生成的文件是 {hash}.raw，默認(rèn)保存路徑是dumpit.exe所在的路徑

LETHALBE3A-20190916-135515.raw是DumpIt.exe生成的文件，dump下來看看

volatility -f /root/mem.raw --profile=Win7SP1x86 dumpfiles -Q 0x000000001fca1130 --dump-dir=/root/111

發(fā)現(xiàn)沒數(shù)據(jù)，說明取證的時候dumpit.exe還在運行，那就dump一下dumpit.exe的內(nèi)存鏡像看看

volatility -f /root/mem.raw --profile=Win7SP1x86 memdump -p 3380 -D /root/111

對dumpit.exe的內(nèi)存鏡像進行分析

foremost 3380.dmp

分離出包含flag.txt的加密壓縮包文件，密碼是圖片內(nèi)容1YxfCQ6goYBD6Q

flag.txt內(nèi)容為RoarCTF{wm_D0uB1e_TC-cRypt}

總結(jié)

以上是生活随笔為你收集整理的[RoarCTF2019]forensic的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。