imagin.vmem取证
前言
因为不知道题目的名字,所以只能用附件的名称来命名(ps:哈哈哈),作为取证菜鸡只能慢慢学取证了。
附件
链接:https://pan.baidu.com/s/1eCTxufX9KC1WNHbEEF7wSA
提取码:ki9z
知识点
random.seed()
seed()没有参数时,每次生成的随机数是不一样的,而当seed()有参数时,每次生成的随机数是一样的,同时选择不同的参数生成的随机数也不一样
random.getrandbits(8)
返回一个八位大小的随机整数。
定义了一个随机数的种子之后,那么random.getrandbits获得的随机数就是固定的
random.seed('5fba44bfdd012bed894920549c673264')
os.environ
查看的是环境变量
PIL的convert
解题过程
volatility -f imagin.vmem imageinfo
volatility -f imagin.vmem --profile=Win7SP1x64 iehistory
在iehistory发现了东西
使用filescan命令,查看他们的PID
volatility -f imagin.vmem --profile=Win7SP1x64 filescan | grep -E 'png|out.py'
volatility -f imagin.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000003e9b29f0 -D ./
使用dumpfiles将其导出来,得到
import os
import random
from Crypto.Util import number
from PIL import Image
env = os.environ
sed = env['cd1b9deda998c9104566329dc812c849']
random.seed(sed)
flag = open('flag','r').read()
key = number.long_to_bytes(random.getrandbits(len(flag)*8))
res = []
for i in range(len(flag)):
res.append(flag.encode()[i]^key[i])
res = bytes(res)
assert(len(res)==38)
c = bin(number.bytes_to_long(res))[2:]
assert(len(c)==304)
back = Image.open('1.png').convert('L')
a,b = back.size
c_p = Image.new('L',(a,b))
for y in range(b):
for x in range(a):
if x+a*y <len(c):
if c[x+a*y] == '1':
c_p.putpixel((x,y),back.getpixel((x,y)) if back.getpixel((x,y))%2 == 1 else back.getpixel((x,y))+1)
else:
c_p.putpixel((x,y),back.getpixel((x,y)) if back.getpixel((x,y))%2 == 0 else back.getpixel((x,y))-1)
else:
c_p.putpixel((x,y),back.getpixel((x,y)))
c_p.convert('RGB').save('c.png')
发现是利用了python对flag进行了一些处理,把数据处理之后写进了图片里。那就需要把脚本逆一下了。
然后发现脚本使用了os.environ,那就需要通过取证获得这个数据
volatility -f imagin.vmem --profile=Win7SP1x64 envars
然后就得到了
5fba44bfdd012bed894920549c673264
然后就可以根据加密的脚本写解密了(ps:代码能力比较菜只能根据师傅的脚本抄一下)
import random
from PIL import Image
from Crypto.Util import number
import os
env = os.environ
random.seed('5fba44bfdd012bed894920549c673264')
img = Image.open('c.png').convert('L')
a,b = img.size
# print(a,b)
c = ['']*304
# print(len(c))
for y in range(b):
for x in range(a):
if x + a*y <len(c):
if img.getpixel((x,y))%2 == 1:
c[x+a*y] = '1'
else:
c[x+a*y] = '0'
# print(c)
key = number.long_to_bytes(random.getrandbits(38*8))
print(key)
str_c = ''.join(c)
str_c = int(str_c,2)
str_c = number.long_to_bytes(str_c)
# print(str_c)
flag = []
for i in range(38):
flag.append(chr(str_c[i]^key[i]))
print(''.join(flag))
flag{7f958aaef5f88ebf67f8ecc89c7c271b}