刘功瑞的博客-360 赛题分析：google语法真不错!!!（volatility 取证）

360 赛题分析：google语法真不错!!!（volatility 取证）

题目类型：取证

解题思路：

volatility -f xp.raw imageinfo //识别系统

volatility -f xp.raw --profile=WinXPSP2x86 pslist //查看进程

存在cmd、ie等进程。

volatility -f xp.raw –profile=WinXPSP2x86 cmdscan //cmd历史命令

执行了6条命令，乱码应该是桌面

volatility -f xp.raw –profile=WinXPSP2x86 filescan | grep 桌面 //查看桌面

存在桌面jpg文件

volatility -f xp.raw –profile=WinXPSP2x86 dumpfiles -D ./ -Q 0x000000000215f340 //保存文件出来

保存360.jpg文件到本地

volatility -f xp.raw –profile=WinXPSP2x86 iehistory //ie历史记录

发现搜索了github以及Syst2m，进行google搜索，发现Syst2m的一个github

通过查看commits和release发现为F5图片隐写。

F5隐写

java Extract ../360.jpg -p 360CTFisSOeasy

生成output.txt

flag{0b9c9fc7d19a072ee23cf10729338041}

« 2024年5月 »

四

五

六

日

刘功瑞的博客