郴州住房和城乡建设部网站,如何查找网站死链,建设零食网站的可行性,如何自己设计广告图一.JiaJia-CP-2 一看题目#xff0c;聊天软件#xff0c;用的什么聊天软件直接userassist看运行过什么程序
vol -f JiaJia_Co.raw --profileWin7SP1x64 userassist 发现Telegram.exe(小飞机) 可能性很大啊(真是个摸鱼大神)
除此之外#xff0c;filescan也能看到#xff0… 一.JiaJia-CP-2 一看题目聊天软件用的什么聊天软件直接userassist看运行过什么程序
vol -f JiaJia_Co.raw --profileWin7SP1x64 userassist 发现Telegram.exe(小飞机) 可能性很大啊(真是个摸鱼大神)
除此之外filescan也能看到提取文件对象file objects池信息也能找到Telegram.exe(加个grep管道符筛出来岂不是更快乐)
vol -f JiaJia_Co.raw --profileWin7SP1x64 filescan | grep Telegram 输出这些结果 一看两个Telegram.exe还有一个日志文件那就拿它仨下手吧
使用 dumpfiles 提取内存中映射或缓存的文件-Q参数指定偏移量虚拟地址-D 指定导出的目录地址。先导出日志文件并查看。
vol -f JiaJia_Co.raw --profileWin7SP1x64 dumpfiles -Q 0x000000013dd413f0 -D ./
整下来个文件用cat命令查一下 version版本的意思3003000试着提交发现不对那就对另一个下手
vol -f JiaJia_Co.raw --profileWin7SP1x64 dumpfiles -Q 0x000000013fde26a0 -D ./
发现一个img后缀file命令看了一下
file file.None.0xfffffa8006065d10.img
结果如下 它表明你有一个名为 file.None.0xfffffa8006065d10.img 的文件这个文件是一个可执行文件GUI即图形用户界面它是针对64位的x86架构的操作系统即Windows编译的。
发现不对劲把文件名改成exe文件在拖到主机上看一看主机是Linux当我没说
mv file.None.0xfffffa8006065d10.img file.None.0xfffffa8006065d10.exe 小灰机软件啊看看属性就知道是什么版本了 3.3.0.0版本版本号搞出来了接着就是邮箱了使用 iehistory 插件尝试获取信息
vol -f JiaJia_Co.raw --profileWin7SP1x64 iehistory | grep .*.*com
结果如下 因为题目并未说明佳佳使用的是什么邮箱而输出结果中有好多邮箱比如 jiajiasohu.com、jiajiasogou 等邮箱尝试输入flag也都错误。大多数人应该都能想到正常情况下邮箱符号前应该不会如jiajia这样字符那么少。于是需要换一种方法试一试比如使用 screenshot 插件获取保存基于GDI窗口的伪截屏或许可以获取我们想要的信息。 用户活动监控通过捕获屏幕截图分析人员可以了解用户在系统上的活动例如他们打开的文件、所处的应用程序或浏览的网页。 发现恶意软件行为通过截取系统中运行恶意软件时的屏幕截图分析人员可以深入了解恶意软件的行为和功能。 检查系统状态屏幕截图可以提供系统在特定时间点的状态快照。 vol -f JiaJia_Co.raw --profileWin7SP1x64 screenshot -D ./ 发现一堆png图片找吧众里寻他千百度蓦然回首flag却在灯火阑珊处。 呜呜呜终于找到了 邮箱是 a2492853776163.com图片到时候自己放大看吧
flagctfshow{md5(3.3.0.0_a2492853776163.com)}ctfshow{f1420b5294237f453b7cc0951014e45a} MD5加密工具在上个文章有自取吧今天就这样了。
