2021强网杯部分misc题解

Cipher man

下载得到memory和Secret，把memory放进虚拟机中，用vol取证，暂时没什么思路。查看Secret，用DiskGenius打开secret，发现有bitlocker加密，根据题目描述，解密的秘钥应该就在memory中，先filescan，发现一个可疑文件，dump下来得

下面这一串BitLocker的东西就是解密的密钥，成功打开secret，readme.txt里的话就是flag。

Eztime

下载得到
分别百度两个文件名，了解$Logfile是数据流文件，用文本文档打开发现有很多文件名，github搜了一下Logfie发现有相关应用专门针对这类文件，用LogFileParser-master解Logfile，得到

看了会csv，直接复制出来，根据题目描述，要找到一个被程序修改过时间属性的文件，百度了一会没找到怎么找，用数据库工具打开ntfs.db，按时间排列，看A-time，试了前面几个并不对，继续往下试，试到{45EF6FFC-F0B6-4000-A7C0-8D1549355A8C}.png得到正确答案。

blueteaming

winhex搜，找到某注册表项带有powershell的字段。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Communication