一.JiaJia-CP-2
一看题目,聊天软件,用的什么聊天软件直接userassist看运行过什么程序
vol -f JiaJia_Co.raw --profile=Win7SP1x64 userassist发现Telegram.exe(小飞机)
可能性很大啊(真是个摸鱼大神)
除此之外,filescan也能看到,提取文件对象(file objects)池信息也能找到Telegram.exe(加个grep管道符筛出来岂不是更快乐!)
vol -f JiaJia_Co.raw --profile=Win7SP1x64 filescan | grep "Telegram"输出这些结果:
一看,两个Telegram.exe,还有一个日志文件,那就拿它仨下手吧
使用 dumpfiles 提取内存中映射或缓存的文件,-Q参数指定偏移量(虚拟地址),-D 指定导出的目录地址。先导出日志文件并查看。
vol -f JiaJia_Co.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000013dd413f0 -D ./整下来个文件,用cat命令查一下
version:版本的意思,3003000,试着提交发现不对,那就对另一个下手:
vol -f JiaJia_Co.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000013fde26a0 -D ./发现一个img后缀,file命令看了一下:
file file.None.0xfffffa8006065d10.img结果如下:
它表明你有一个名为 file.None.0xfffffa8006065d10.img 的文件,这个文件是一个可执行文件(GUI,即图形用户界面),它是针对64位的x86架构的操作系统(即Windows)编译的。
发现不对劲,把文件名改成exe文件在拖到主机上看一看(主机是Linux当我没说)
mv file.None.0xfffffa8006065d10.img file.None.0xfffffa8006065d10.exe 
小灰机软件啊,看看属性就知道是什么版本了:
3.3.0.0版本,版本号搞出来了,接着就是邮箱了,使用 iehistory 插件尝试获取信息
vol -f JiaJia_Co.raw --profile=Win7SP1x64 iehistory | grep ".*@.*com"结果如下:
因为题目并未说明佳佳使用的是什么邮箱,而输出结果中有好多邮箱,比如 jiajia@sohu.com、jiajia@sogou 等邮箱,尝试输入flag也都错误。大多数人应该都能想到,正常情况下邮箱@符号前应该不会如jiajia这样字符那么少。于是需要换一种方法试一试,比如使用 screenshot 插件,获取保存基于GDI窗口的伪截屏,或许可以获取我们想要的信息。
用户活动监控:通过捕获屏幕截图,分析人员可以了解用户在系统上的活动,例如他们打开的文件、所处的应用程序或浏览的网页。
发现恶意软件行为:通过截取系统中运行恶意软件时的屏幕截图,分析人员可以深入了解恶意软件的行为和功能。
检查系统状态:屏幕截图可以提供系统在特定时间点的状态快照。
vol -f JiaJia_Co.raw --profile=Win7SP1x64 screenshot -D ./
发现一堆png图片,找吧,众里寻他千百度,蓦然回首,flag却在灯火阑珊处。 (呜呜呜,终于找到了):
邮箱是 a2492853776@163.com(图片到时候自己放大看吧)
flag:ctfshow{md5(3.3.0.0_a2492853776@163.com)}=>ctfshow{f1420b5294237f453b7cc0951014e45a}
MD5加密工具在上个文章有,自取吧,今天就这样了。
