题目不算很难,但是可以从中学到很多新的知识点 ~
附件链接:https://pan.baidu.com/s/1Bcm9rfcjRDdM3hrVBKySwQ 提取码:f1cg
下载附件得到压缩包,解压可以得到img文件,然而这道题并不是正常的内存取证题
先用binwalk分析得到的镜像文件,可以看到其中有PNG和KGB文件
用binwalk分离文件,可以得到其中的一部分flag,也就是上图中的PNG文件
得到其中的第二部分flag:tO_7h3_3nd_Of_
part2: tO_7h3_3nd_Of_
接下来用工具 diskgenius 分析内存镜像,打开little.img,发现只有一个分区,浏览文件可以看到有一个KGB后缀的文件,将其保存出来
第一次接触KGB后缀的文件,还不太了解,于是去问了问度娘
得知其为一种压缩文件,下载KGB的解压工具,解压后可以得到firstf.ogg
直接用电脑自带的音频播放软件就可以打开听,可以听到第一部分的flag:c0me_wi4h_f4t_m4n_
part1: c0me_wi4h_f4t_m4n_
然而第一部分和第二部分的flag拼起来显然还不完整,于是还要继续寻找下一部分的flag,用strings命令搜索一下可以看到第三部分的flag是音频文件
这部分的文件提取要感谢 EDS 师傅提供的方法:
winhex打开文件 → 工具 → 磁盘工具 → 通过文件类型恢复,在Music/Video一栏中选MP4文件恢复即可
打开得到的mp4文件即可看到第三部分的flag:t4i3_sUsEc_journey}
part3: t4i3_sUsEc_journey}
到此为止获得完整的flag:SUSEC{c0me_wi4h_f4t_m4n_tO_7h3_3nd_Of_t4i3_sUsEc_journey}
flag: SUSEC{c0me_wi4h_f4t_m4n_tO_7h3_3nd_Of_t4i3_sUsEc_journey}
本题虽然给出了img文件,但是不用volatility进行取证分析(或许用volatility也能做,俺没尝试),算是比较特别的一道内存题,学到了winhex的另一种使用方式,也收获了新的工具,内存取证题又有新的方式去做了~