2022年农信银网络安全竞赛3-2 ez_raw简单取证writeup

 

下载解压ez_raw，根据题意判断文件应为内存镜像，用volatility工具分析。
1、扫描cmd命令行获得一串base64字符串
volatility -f .\ez_raw --profile=Win7SP1x64 cmdscan

5oiR5Zyo5rWP6KeI5Zmo5LiK5LiL6L2955qE5Lic6KW/5om+5LiN5Yiw5LqG77yM6L+Z56C055S16ISR6buY6K6k5LiL6L295Yiw5LuA5LmI5Zyw5pa55LqG77yf

2、用Base64 解码得到提示 ：我在浏览器上下载的东西找不到了，这破电脑默认下载到什么地方了？

3、于是查找Downloads日录,提取 atbash并了atbash 改为zip，解压需要密码。
volatility -f .\ez_raw --profile=Win7SP1x64 filescan | findstr Downloads
找到atbash

volatility -f .\ez_raw --profile=Win2008R2SP0x64 dumpfiles -Q 0x000000003de5b070 --dump-dir .\

4、尝试爆破无解，于是重新分析查找文件，尝试提取TranscodedWallpaper.jpg密码图片
\Volatile>volatility -f .\ez_raw --profile=Win7SP1x64 filescan | findstr .jpg

 \Device\HarddiskVolume2\Users\admin\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

volatility -f .\ez_raw --profile=Win2008R