记一道比较特别的『内存取证』题

题目不算很难，但是可以从中学到很多新的知识点 ~

[SuSeC CTF] Little

GpRtzt.png

附件链接：https://pan.baidu.com/s/1Bcm9rfcjRDdM3hrVBKySwQ 提取码：f1cg

题目考点

• 内存镜像中分离文件
• KGB压缩格式
• 寻找多部分flag

题目详解

下载附件得到压缩包，解压可以得到img文件，然而这道题并不是正常的内存取证题

先用binwalk分析得到的镜像文件，可以看到其中有PNG和KGB文件

用binwalk分离文件，可以得到其中的一部分flag，也就是上图中的PNG文件

GpR2Q0.png

得到其中的第二部分flag：tO_7h3_3nd_Of_

part2: tO_7h3_3nd_Of_

接下来用工具 diskgenius 分析内存镜像，打开little.img，发现只有一个分区，浏览文件可以看到有一个KGB后缀的文件，将其保存出来

GpRjeO.png

第一次接触KGB后缀的文件，还不太了解，于是去问了问度娘

GpWF6P.png

得知其为一种压缩文件，下载KGB的解压工具，解压后可以得到firstf.ogg

GpWnYj.png

直接用电脑自带的音频播放软件就可以打开听，可以听到第一部分的flag：c0me_wi4h_f4t_m4n_

part1: c0me_wi4h_f4t_m4n_

然而第一部分和第二部分的flag拼起来显然还不完整，于是还要继续寻找下一部分的flag，用strings命令搜索一下可以看到第三部分的flag是音频文件

GpWl60.png

这部分的文件提取要感谢 EDS 师傅提供的方法：

winhex打开文件 → 工具 → 磁盘工具 → 通过文件类型恢复，在Music/Video一栏中选MP4文件恢复即可

GpWJ7F.png

GpWNtJ.png

打开得到的mp4文件即可看到第三部分的flag：t4i3_sUsEc_journey}

part3: t4i3_sUsEc_journey}

GpWdpR.png

到此为止获得完整的flag：SUSEC{c0me_wi4h_f4t_m4n_tO_7h3_3nd_Of_t4i3_sUsEc_journey}

flag: SUSEC{c0me_wi4h_f4t_m4n_tO_7h3_3nd_Of_t4i3_sUsEc_journey}

总结

本题虽然给出了img文件，但是不用volatility进行取证分析（或许用volatility也能做，俺没尝试），算是比较特别的一道内存题，学到了winhex的另一种使用方式，也收获了新的工具，内存取证题又有新的方式去做了~