接上回
JiaJia-CP-2
2.佳佳在网页上登录了自己的邮箱,请问佳佳的邮箱是?
因为是在网页上登陆的邮箱
用iehistory插件 查看一下网页历史记录
为了方便分析,使用grep命令正则匹配一下 *@*com 的记录
vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 iehistory | grep ".*@.*com"
查看并没有发现什么可用的结果
看了一下别人的wp
需要获取屏幕截图(好思路 拿本本记下来)
用 screenshot 插件,获取保存基于GDI窗口的伪截屏
screenshot插件用于获取被分析系统的屏幕截图。这个插件可以帮助取证分析人员捕捉被分析系统的图像,并且能够识别和提取被截取图像中的关键信息。
使用screenshot插件可以有以下几个应用场景:
用户活动监控:通过捕获屏幕截图,分析人员可以了解用户在系统上的活动,例如他们打开的文件、所处的应用程序或浏览的网页。这些信息对于了解系统的使用模式和用户行为非常有帮助。
发现恶意软件行为:通过截取系统中运行恶意软件时的屏幕截图,分析人员可以深入了解恶意软件的行为和功能。这有助于确定该恶意软件可能所做的事情,例如可能修改的界面、创建的弹出窗口或其他可疑活动。
检查系统状态:屏幕截图可以提供系统在特定时间点的状态快照。例如,当系统遭遇意外关机时,屏幕截图可以显示断开的会话、打开的文件或其他有关系统状态的关键信息。
使用screenshot插件获取屏幕截图,-D参数指定输出的保存路径
使用这个插件的时候 出现之前同样问题
提醒我没装PIL
同样用pip2就能解决
获取了很多张
只有一张是有内容的
a2492853776@163.com
ctfshow{3.3.0.0_a2492853776@163.com}——>ctfshow{f1420b5294237f453b7cc0951014e45a}
JiaJia-CP-3
问题
1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)
2.佳佳解压了从chrome下载了一个压缩文件,此文件的相关内容信息已经写入了到环境中,请问文件的内容是?
思路
在上次的UserAssist里面继续找找到固定在任务栏的google chrome进程
佳佳将一个压缩文件的相关内容信息写入到了环境中,则查看所有进程的环境变量获取就可以获取到我们想要的信息
实现过程
打印的注册表里面找到了两个关于Chrome的进程
%APPDATA%\Microsoft\Internet Explorer\ouick Launch\User Pinned\TaskBar Google chrome.lnk
2021-12-10 12:21:36 UTC+0000
这个ink文件
是指 Windows 中存储用户钉在任务栏的 Google Chrome 快捷方式的位置。它包含在用户特定的“快速启动”文件夹中,该文件夹通常位于用户的个人文件夹下的一个隐藏目录中。
Google Chrome.lnk 是指向 Google Chrome 浏览器的快捷方式文件
符合题目要求最后一次运行固定在任务栏的进程
但是把时间+8提交flag不对
{6D809377-6AF0-4448-8957-A3773F02200E}\Google\chrome\Application\chrome.exe
2021-12-10 12:28:43 UTC+0000
这个时间比上面那个晚
提交就对了
也可以用timeliner插件 过滤chrome
vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 timeliner | grep "chrome"直接找到
使用 envars 插件,显示所有进程的环境变量
这里的内容太多了
看别人的wp可以把它整到txt文件里面
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 envars > envars.txt
找到了
在Pid为 3396 那一个环境变量中获取了文件的相关内容信息为 Th1s_i5_Ur_P5wd
flag
ctfshow{2021-12-10_20:28:43_Th1s_i5_Ur_P5wd}->ctfshow{6430ef3578f7e1206506995cae3d2c24}
总结
总结一下这三题用到的命令 (搬运一下)
插件 解释 示例
imageinfo 查看/识别镜像信息 vol.py -f JiaJia_Co.raw imageinfo
hivelist 打印注册表配置单元列表 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 hivelist
printkey 打印注册表项及其子项和值 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 printkey -K "SAM\DOMAINS\Account\Users\Names"
userassist 打印注册表中UserAssist相关信息 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 userassist
timeliner 创建内存中的各种痕迹信息的时间线 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 timeliner
filescan 提取文件对象池信息 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 filescan
dumpfiles 提取内存中映射或缓存的文件 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000013dd413f0 -D ./
iehistory 重建IE缓存及访问历史记录 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 iehistory
screenshot 基于GDI Windows的虚拟屏幕截图保存 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 screenshot -D ./
envars 显示进程的环境变量 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 envars
参考
【CTFshow 电子取证】 JiaJia-CP-1-2-3(图文详解)_ctf.show中jiajia-cp-1 解fllag-CSDN博客
https://www.cnblogs.com/fengyuxuan/p/16541585.html
