cancan need
这是部分人熟知的刘佳佳同学的电脑,她今年21岁已在公司里实习。但是佳佳经常摸鱼被老板训斥说:你怎么摸得下去的”。因此佳佳还会经常将未完成的工作带到家里去完成(老板不留她加班属实有点离谱。但最近佳佳一天摸鱼的时间达到了25小时,这令老板非常不爽。于是🐕老板悄悄的植入了一个软件并在后台获取了佳佳电脑的内存信息。由于老板也是个懒🐕于是叫你来找一下老板想要的佳佳电脑的信息。作为十年老粉的CTFer们如果不是因为要找到flag一定不想帮老板来看佳佳的电脑内存信息吧,于是你也只能来帮助老板寻找佳佳电脑里的信息。电脑里面没有奇奇怪怪的东西,不要乱翻浪费时间”
1.佳佳的电脑用户名叫什么(即C:Users{name})
2.最后一次运行计算器的时间?(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)
flag格式为ctfshow{md5(A1_A2)}
format:ctfshow{ljj_2021-12-12_07:13:26}=ctfshow{c3cf135599d338093cbd2b578065be89}
STEP.1 解压得到一个文件JiaJia-Co.Raw
直接启动volatility分析文件开始内存取证
1 | volatility.exe -f D:/TEMP/JiaJia-Co.Raw imageinfo |
分析系统镜像类型,得到结果为
1 | Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418 |
直接选用Win7SP1x64即可
##首先第一个问题:佳佳的电脑用户名叫什么(即C:\Users{name})
这里使用filescan函数扫描所有文件即可,会遇到类似于
\Device\HarddiskVolume1\Users\JiaJia\XXXXXX\XXXXX\XXX
稍作观察即可发现该路径像极了windows用户路径,即C:\users\XXXXX
由此得出用户名为JiaJia
第二个问题:最后一次运行计算器的时间?
想要查看windows程序最后一次运行的时间需要通过注册表
可以使用hivelist查找目标的注册表,导出ntuser.dat注册表项
使用RegistryExplorer或RegistryRecon查看以下路径的注册表项
tips:比较推荐RegistryRecon,因为RegistryExplorer时区默认GMT+00,导致得到的结果比正确时间早8小时,这可能会导致错误的结果
Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\JiaJia(或者一串windows用户的唯一识别ID)\Count
该注册表项内包含windows所有程序的运行次数、运行时间和最后运行时间
得到结果2021-12-10_20:15:47
根据要求对结果进行组合并md5
这里放一个基于python的md5脚本
1 | import hashlib |
运行即可得到结果079249e3fc743bc2d0789f224e451ffd
最终flag{079249e3fc743bc2d0789f224e451ffd}