内存取证

NSSCTF28—Basic 大画家

第一道内存取证题，拿到.mem文件后用拖进R-STUDIO找找文件

发现了flag.txt，但是没有flag，有提示信息，然后我们用LoveMem打开，根据画家的提示，在进程中找到了有关绘画的进程

题目描述：你是大黑客，这次你入侵了icej3lly的个人电脑，准备跟踪他的行踪，但是icej3lly好像并不害怕⌓‿⌓，还跟你玩起了加密游戏，甚至把提示都给你了ƪ(˘⌣˘)ʃ。但当你正在查看桌面上的秘密文件和提示时突然断电了，只留下了这个内存镜像，多疑的你一定会有所发现吧˃ʍ˂

先用rstuio看看，可以发现压缩包

但是用这个工具恢复后的压缩包有错误，用bandizip打开修复一下，发现里面有mimi.zip与hint.txt，需要密码

同理，也可以用lovelymem导出zip，从这点看来，lovelymem是更胜一筹的

注意这里有两个secret.zip，都导一下（导出来是.dat文件，改一下就行），第二个是正确的，且文件没有损坏，可以不用bandizip修复。

然后我们需要找压缩包密码，同理，我们能找到hint文件，把他导出后发现明文攻击的提示

这里需要注意的是，hint.txt提取出来是4kb的，我们只需要有文字的那一段就行，就是24个字节，所以要自己新建一个txt，不能直接用导出来的

bkcrack跑一下

得到

疑惑谐音异或，将文件与search进行异或，得到压缩包

压缩包是伪加密，工具嗦一下

得到图片，先随波逐流一下，发现最后是图寻

exif可以看到GPS定位，然后图片中有商家，搜馋思渝回转小火锅也可以搜到

1

flag{江苏省连云港市海州区陇海步行街}

vmdk文件，用vm打开

自定义新建虚拟机–>稍后安装操作系统……最后使用现有虚拟磁盘