陇剑杯 2021
内存分析(问1)
网管小王制作了一个虚拟机文件,让您来分析后作答:
虚拟机的密码是_____________。(密码中为flag{xxxx},含有空格,提交时不要去掉)。
mimikatz一把梭了
flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}
内存分析(问2)
网管小王制作了一个虚拟机文件,让您来分析后作答:
虚拟机中有一个某品牌手机的备份文件,文件里的图片里的字符串为_____________。(解题过程中需要用到上一题答案中flag{}内的内容进行处理。本题的格式也是flag{xxx},含有空格,提交时不要去掉)。
先查看信息
vol.py -f Target.vmem imageinfo
查看一下桌面文件
vol.py -f Target.vmem --profile=Win7SP1x64 filescan | grep Desk
提取一下
vol.py -f Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007d8c7d10 -D ./..
再文件分离一下,得到华为的文件夹
https://github.com/RealityNet/kobackupdec用这个软件解密
密码是上题的W31C0M3_T0_THiS_34SY_F0R3NSiCX
python kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX "HUAWEI P40_2021-aa-bb xx.yy.zz" D:\666
flag{TH4NK Y0U FOR DECRYPTING MY DATA}
