题目不算很难,但是可以从中学到很多新的知识点 ~

[SuSeC CTF] Little

GpRtzt.png

附件链接:https://pan.baidu.com/s/1Bcm9rfcjRDdM3hrVBKySwQ
提取码:f1cg

题目考点

  • 内存镜像中分离文件
  • KGB压缩格式
  • 寻找多部分flag

题目详解

下载附件得到压缩包,解压可以得到img文件,然而这道题并不是正常的内存取证题

先用binwalk分析得到的镜像文件,可以看到其中有PNG和KGB文件

GpR6Wn.png

用binwalk分离文件,可以得到其中的一部分flag,也就是上图中的PNG文件

GpR2Q0.png

得到其中的第二部分flag:tO_7h3_3nd_Of_

part2: tO_7h3_3nd_Of_

接下来用工具 diskgenius 分析内存镜像,打开little.img,发现只有一个分区,浏览文件可以看到有一个KGB后缀的文件,将其保存出来

GpRjeO.png

第一次接触KGB后缀的文件,还不太了解,于是去问了问度娘

GpWF6P.png

得知其为一种压缩文件,下载KGB的解压工具,解压后可以得到firstf.ogg

GpWnYj.png

直接用电脑自带的音频播放软件就可以打开听,可以听到第一部分的flag:c0me_wi4h_f4t_m4n_

part1: c0me_wi4h_f4t_m4n_

然而第一部分和第二部分的flag拼起来显然还不完整,于是还要继续寻找下一部分的flag,用strings命令搜索一下可以看到第三部分的flag是音频文件

GpWl60.png

这部分的文件提取要感谢 EDS 师傅提供的方法:

winhex打开文件 工具 磁盘工具 通过文件类型恢复,在Music/Video一栏中选MP4文件恢复即可

GpWJ7F.png
GpWNtJ.png

打开得到的mp4文件即可看到第三部分的flag:t4i3_sUsEc_journey}

part3: t4i3_sUsEc_journey}

GpWdpR.png

到此为止获得完整的flag:SUSEC{c0me_wi4h_f4t_m4n_tO_7h3_3nd_Of_t4i3_sUsEc_journey}

flag: SUSEC{c0me_wi4h_f4t_m4n_tO_7h3_3nd_Of_t4i3_sUsEc_journey}

总结

本题虽然给出了img文件,但是不用volatility进行取证分析(或许用volatility也能做,俺没尝试),算是比较特别的一道内存题,学到了winhex的另一种使用方式,也收获了新的工具,内存取证题又有新的方式去做了~