menu Ga1@xy's Wor1d
记一道比较特别的『内存取证』题
673 浏览 | 2020-03-26 | 阅读时间: 约 2 分钟 | 分类: wp,MISC | 标签: Misc,刷题wp
请注意,本文编写于 541 天前,最后修改于 515 天前,其中某些信息可能已经过时。

题目不算很难,但是可以从中学到很多新的知识点 ~

[SuSeC CTF] Little

附件链接:https://pan.baidu.com/s/1Bcm9rfcjRDdM3hrVBKySwQ
提取码:f1cg

题目考点

  • 内存镜像中分离文件
  • KGB压缩格式
  • 寻找多部分flag

题目详解

下载附件得到压缩包,解压可以得到img文件,然而这道题并不是正常的内存取证题

先用binwalk分析得到的镜像文件,可以看到其中有PNG和KGB文件

用binwalk分离文件,可以得到其中的一部分flag,也就是上图中的PNG文件

得到其中的第二部分flag:tO_7h3_3nd_Of_

part2: tO_7h3_3nd_Of_

接下来用工具 diskgenius 分析内存镜像,打开little.img,发现只有一个分区,浏览文件可以看到有一个KGB后缀的文件,将其保存出来

第一次接触KGB后缀的文件,还不太了解,于是去问了问度娘

得知其为一种压缩文件,下载KGB的解压工具,解压后可以得到firstf.ogg

直接用电脑自带的音频播放软件就可以打开听,可以听到第一部分的flag:c0me_wi4h_f4t_m4n_

part1: c0me_wi4h_f4t_m4n_

然而第一部分和第二部分的flag拼起来显然还不完整,于是还要继续寻找下一部分的flag,用strings命令搜索一下可以看到第三部分的flag是音频文件

这部分的文件提取要感谢 EDS 师傅提供的方法:

winhex打开文件 工具 磁盘工具 通过文件类型恢复,在Music/Video一栏中选MP4文件恢复即可


打开得到的mp4文件即可看到第三部分的flag:t4i3_sUsEc_journey}

part3: t4i3_sUsEc_journey}

到此为止获得完整的flag:SUSEC{c0me_wi4h_f4t_m4n_tO_7h3_3nd_Of_t4i3_sUsEc_journey}

flag: SUSEC{c0me_wi4h_f4t_m4n_tO_7h3_3nd_Of_t4i3_sUsEc_journey}

总结

本题虽然给出了img文件,但是不用volatility进行取证分析(或许用volatility也能做,俺没尝试),算是比较特别的一道内存题,学到了winhex的另一种使用方式,也收获了新的工具,内存取证题又有新的方式去做了~

全部评论

info 评论功能已经关闭了呐!