磁盘取证
[网刃杯 2022]玩坏的winxp
题目给了一个vmdk和一个vmx
用DiskGenius打开,在桌面发现一个文件夹比较奇怪
数字编号的图片都报了文件头与格式不符,只有meiren没有
查看这张图片
kali用binwalk试试
1 | $ binwalk -e meiren.jpg |
解压出来一张坏了的图和一个压缩包,压缩包里是这张图,再试试foremost
1 | $ foremost meiren.jpg -o test |
得到两张正常的图片、压缩包,解压得到一张损坏图片
损坏的图片里还有东西,提取出来是一个带加密的压缩包和一张空图片
戴围脖的软件,应该是QQ?但磁盘里没有QQ
可能是网页登录,尝试查看浏览器
这一步我还真没想到,2202年了哪来网页端
这里有很多sqlite文件,打开看看
得到了QQ号
解md5
解压压缩包得到flag
flag{this_is_what_u_want8}
[rctf2019]disk
拖进diskgenius报错,拖进010里发现至少文件头没问题,并发现flag第一部分
rctf{unseCure_quick_form4t_vo1ume
用Binwalk和foremost没发现有藏东西
用7z解压会报无法打开.fat文件的错,发现疑点。从7z里浏览会发现可以解压出一个.fat文件
用VeraCrypt挂载,得到一张图和一个文本
1 | Password 2: RCTF2019 |
同一个加密磁盘文件可以使用不同的密码挂载,挂载后的文件不一样
用这个密码再挂一次,能够成功挂载,但是打不开,要用winhex打开
发现后半段
_and_corrupted_1nner_v0lume}
rctf{unseCure_quick_form4t_vo1ume_and_corrupted_1nner_v0lume}