题目是一个raw的镜像文件
用volatility搜索一下进程
有正常的notepad,msprint,还有dumpit和truecrypt
volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory
查看ie历史的时候有一个百度网盘的连接但是没有密码
提示放出了 记事本
但是查notepad实在是没有什么收获
上取证大师
这就很好用,恢复一下格式化了的数据,直接搜索txt后缀找到了提取码
本来以为这题目就差不多了
然后又下载下来一个加密文件VOL,扔到取证大师里显示truecrypt加密。
去找内存密钥,直接truecrypt加密程序应该就可以
在取证大师里同一个文件夹下找到了一个ky文件,试了试,解出来了
拿到了key,但是后来有大佬告诉我直接EFDD就能解出key
然后手里拿着这个key懵了很久,以为是手动磁盘恢复,后来突然开了个脑洞,我拿key当作密码又重新解了一次truecrypt,竟然成功了
ok,一个加密的zip文件,密码不知道是啥。
又回去找密码,ie,记事本,dumpit都用到了
图片那里还没怎么用到,按照基本操作从内存恢复了几张图片
volatility -f mem.raw --profile=Win7SP1x86_23418 filescan |grep -E 'jpg|png|jpeg|bmp|gif'
没什么结果,还有一个姿势是用gimp看dump出来的msprint.exe的数据。
奈何我调不出来
这道题就死在这里了。。。
---------三天后-------------
抄了pur3大佬博客的参数,才出来原来这位移是要拖的。。。。