ctfshow 摆烂杯 取证部分

JiaJia-CP-1

1.佳佳的电脑用户名叫什么(即C:\Users{name})
2.最后一次运行计算器的时间？(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)

先查看一波镜像版本
volatility -f JiaJia_Co.raw imageinfo

然后按提示说的filescan Users
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 filescan | grep Users

就可以发现用户名是JiaJia

最后一次运行计算器的时间，我们可以使用timeliner插件从多个位置来搜集系统的活动信息，把得到的存到txt里
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 timeliner >time.txt

浅浅了解一下计算器的英文单词

然后去time.txt里搜一下

还要转化成东八区时间
+0000是国际时间，+8000是东八区时间，在国际时间加上8小时为北京时间
2021-12-10_20:15:47

JiaJia-CP-2

1.佳佳在公司使用了一款聊天软件，请问此软件的版本号为?
2.佳佳在网页上登录了自己的邮箱，请问佳佳的邮箱是？

一般软件都会在桌面上有快捷方式啥的，找下Desktop
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 filescan | grep Desktop
可以看到最后一行有个Telegram.exe 电报

尝试导出
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000013fde26a0 -D ./

把文件的后缀换成exe就可以看产品版本了

因为是在网页上登录的邮箱，先查看一下浏览器历史
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 iehistory
不过并没有显示

可以再试下获取屏幕截图
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 screenshot --dump-dir ./

有一张里面有邮箱

JiaJia-CP-3

1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss，注意冒号为英文冒号)
2.佳佳解压了从chrome下载了一个压缩文件，此文件的相关信息已经写入了到环境中，请问文件的内容是？

第一问跟上边的计算器一样

第二个要用到显示环境变量的指令envars
依然是存到txt里方便查找
volatility -f JiaJia_Co.raw --profile=Win7SP1x64 envars > envars.txt
直接找zip、rar之类的

标签：取证,Win7SP1x64,Co,--,raw,ctfshow,JiaJia,摆烂杯,volatility
来源： https://www.cnblogs.com/fengyuxuan/p/16541585.html