一.JiaJia-CP-1
这是ctfshow里电子取证里面的题,以下下是我做题时的WP
审题,最后提交格式要进行md5 加密,给各位CTFer们找了一个md5加密的网站(加紧收藏哦):
1.拿到题目,先用WinRAR解压文件
得到一个raw文件
这个就是题目,各位大佬们应该都知道这是什么文件。用vol2先跑出系统版本
vol -f JiaJia_Co.raw imageinfo
(注意:我把下好的vol2配在了kali的系统变量里了,不会用的CTFer们可以在csdn里找如何使用volatility2)跑出的结果如下:
结果告诉我们, 内存镜像的系统版本为: Win7SP1x64
2.打印注册表
vol -f JiaJia_Co.raw --profile=Win7SP1x64 hivelist
结果如下:
其实到这里,就可以看到计算机中的用户 JiaJia 了注册表
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 这个目录下保存着当前计算机中的所有用户,可以使用 printkey 插件,并用-K参数指定这个目录并打印
vol -f JiaJia_Co.raw --profile=Win7SP1x64 printkey -K "SAM\DOMAINS\Account\Users\Names"
结果如下:
发现除了Administrator用户和Guest用户之外,还有一个JiaJia用户
所以我们就可以跟踪在资源管理器中打开的可执行文件和完整路径了,UserAssist保存了windows执行的程序的运行次数和上次执行日期和时间。
vol -f JiaJia_Co.raw --profile=Win7SP1x64 userassist
输出结果中找到计算器进程,即 calc.exe 其中Last updated那一行即是计算器这个程序最后一次运行的时间(其实到这就已经拿到信息了)
如果感觉输出的结果太多,我们可以这样:
vol -f JiaJia_Co.raw --profile=Win7SP1x64 timeliner | grep "calc.exe"
最后输出的结果更显而易见
注意:UTC+0000是在0时区的时间,我们的北京时间是东八区,所以我们的date应该加8h,所以也就变成了20:15:17
那么我们结合题目要求得到flag:ctfshow{md5(JiaJia_2021-12-10_20:15:47)}=>ctfshow{079249e3fc743bc2d0789f224e451ffd}
就这样,第一题就做出来了(这是晚上写的,不能熬夜了, 后面两个题做出来了WP等有时间再写吧!)