新春战役网络安全公益赛-2020-misc-磁盘套娃

题目给了一个压缩包，打开发现是一个vhd文件。vhd文件是微软虚拟磁盘文件。它可以虚拟各种版本的windows,一个windows应该装在一个硬盘分区上，而它是虚拟的windows，不可能单独度划出一个硬盘分区给它安装，所以它启动所需系统文件都被压缩成知一个vhd格式的文件放在硬盘上。

用winhex打开，点击专家—>映像文件为磁盘，就会发现，存在NTFS格式分区。

NTFS格式分区是我们一般电脑中最常见的分区格式，仅适合微软Windows操作系统使用。NTFS其实是FAT分区的升级版，为Microsoft的Windows系列操作系统提供文件系统。
NTFS对FAT和HPFS（高性能文件系统）作了若干改进，例如，支持元数据，并且使用了高级数据结构，以便于改善性能、可靠性和磁盘空间利用率，并提供了若干附加扩展功能，如访问控制列表（ACL）和文件系统日志。
NTFS格式分区是比FAT32更新的分区格式，NTFS和FAT32的区别是NTFS格式分区相比FAT32分区具有更强大的功能，可以将每个磁盘分为更大空间，拥有更高的安全属性。

双击NTFS分区，对其进行检查，发现存在easy_disk疑似加密容器，

右键导出easy_disk文件，用dekart private disk软件打开，发现存在密码，无法创立连接，尝试找寻加密容器密码


对NTFS系统进行分析，导出该ntfs分区的元数据文件$Usn journal文件，最大的文件Extend−>UsnJml:$J元文件（右键->查看器->Internet Explorer）

使用ntfs log tracker工具分析该元数据文件，好像也可以使用UsnJrnl2Csv工具分析$J。（此处我找不到ntfs log tracker工具，跳过了QAQ）

发现文件系统曾经存在文件名[email protected]的文件，使用该文件名9o7@Xs78I0作为密码成功解密加密容器。

解密加密容器后发现，文件系统格式存在问题，记住不用点击格式化，数据会全部消失的，应该点击取消，用winhex检查加密容器磁盘信息。

检查发现该分区内的引导扇区存在异常，即0扇区偏移16进制数的00-10被擦除写0，且为FAT分区。

依据FAT分区的磁盘结构，手动恢复被擦除的DBR引导记录的字节，FAT分区的00-0A偏移位置是跳转指令和固定的厂商标志和os版本EB 58 90 4D 53 44 4F 53 35 2E 30为MSDOS5.0的ASCII代码。根据dekart private disk容器格式化的参数和30M默认的fat分区的参数结构默认值恢复对应的bios参数快结构。（注：快捷方法：使用private disk加密重启创建一个大小30M的加密分区按默认配置格式化后将其DBR的引导记录直接复制到被损坏擦除的题目容器），保存修改后重新连接容器，使用winhex进行磁盘快照更新后即可打开正常磁盘。


获取根目录下flag。

官方wp：https://github.com/chunqiugame/cqb_writeups
夏风师傅的wp：https://blog.xiafeng2333.top/ctf-23/

wtcl 太久没做题了，一做就碰到这么折腾的题，自闭了。。。