ctfshow 摆烂杯 取证部分
作者:互联网
JiaJia-CP-1
点击查看代码
1.佳佳的电脑用户名叫什么(即C:\Users{name})
2.最后一次运行计算器的时间?(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)
先查看一波镜像版本
volatility -f JiaJia_Co.raw imageinfo
然后按提示说的filescan Users
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 filescan | grep Users
就可以发现用户名是JiaJia
最后一次运行计算器的时间,我们可以使用timeliner插件从多个位置来搜集系统的活动信息,把得到的存到txt里
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 timeliner >time.txt
浅浅了解一下计算器的英文单词
然后去time.txt里搜一下
还要转化成东八区时间
+0000是国际时间,+8000是东八区时间,在国际时间加上8小时为北京时间
2021-12-10_20:15:47
JiaJia-CP-2
点击查看代码
1.佳佳在公司使用了一款聊天软件,请问此软件的版本号为?
2.佳佳在网页上登录了自己的邮箱,请问佳佳的邮箱是?
一般软件都会在桌面上有快捷方式啥的,找下Desktop
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 filescan | grep Desktop
可以看到最后一行有个Telegram.exe 电报
尝试导出
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000013fde26a0 -D ./
把文件的后缀换成exe就可以看产品版本了
因为是在网页上登录的邮箱,先查看一下浏览器历史
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 iehistory
不过并没有显示
可以再试下获取屏幕截图
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 screenshot --dump-dir ./
有一张里面有邮箱
JiaJia-CP-3
点击查看代码
1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)
2.佳佳解压了从chrome下载了一个压缩文件,此文件的相关信息已经写入了到环境中,请问文件的内容是?
第一问跟上边的计算器一样
第二个要用到显示环境变量的指令envars
依然是存到txt里方便查找
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 envars > envars.txt
直接找zip、rar之类的
标签:取证,Win7SP1x64,Co,--,raw,ctfshow,JiaJia,摆烂杯,volatility 来源: https://www.cnblogs.com/fengyuxuan/p/16541585.html