题目链接

链接: https://pan.baidu.com/s/1RfQPAHo_WqMUL4frg9tuXw 提取码: g9mk

所需工具

kali 虚拟机
easy_dump.img 内存镜像
Volatility 内存取证工具
DiskGenius 数据恢复工具

实验准备

老版kali自带Volatility工具，但是我用的新版找不到。
Volatility下载链接：https://github.com/volatilityfoundation/volatility
下载完成后，准备好py2环境和所需要的库。

可以使用python2 vlo.py查看缺少的库，并自行安装

• volatility 使用：

volatility -f <文件名> -–profile=<配置文件> <插件> [插件参数]
通过volatility --info获取工具所支持的profile，Address Spaces，Scanner Checks，Plugins

常用插件：

imageinfo：显示目标镜像的摘要信息，知道镜像的操作系统后，就可以在 –profile 中带上对应的操作系统
pslist：该插件列举出系统进程，但它不能检测到隐藏或者解链的进程，psscan可以
psscan：可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
pstree：以树的形式查看进程列表，和pslist一样，也无法检测隐藏或解链的进程
mendump：提取出指定进程，常用foremost来分离里面的文件
filescan：扫描所有的文件列表
hashdump：查看当前操作系统中的 password hash，例如Windows 的 SAM 文件内容
svcscan：扫描 Windows 的服务
connscan：查看网络连接

复现

先用python2 vol.py -f easy_dump.img imageinfo命令，查看此img镜像信息

根据Suggested Profile(s)的值（第一个和第二个是概率最大的系统），推测可能是Win7SP1x64
所以之后需要用到--profile=Win7SPx64
然后查看img里的所有进程python2 vol.py -f easy_dump.img --profile=Win7SP1x64 psscan

根据题目，推测DumpIt.exe是个可疑进程,进程号为2256
先分离出这个进程python2 vol.py -f easy_dump.img --profile=Win7SP1x64 memdump -p 2256 -D ./
分离后在本目录下生成一个2256.dmp的文件
用binwalk 2256.dmp命令看一下有哪些隐藏文件，结果发现东西太多
直接用foremost 2256.dmp命令分离
cd到output文件夹ls

接着到zip文件夹解压，得到又一个img文件
这里开始用DiskGenius工具打开

看到files文件夹下有.message.swp文件，打开发现最底下有一串字符。
直接用文本编辑器打开message.img，发现有一大串坐标数据
把格式转换一下，直接用gnuplot转为二维码

扫描得到维吉尼亚的密码

维吉尼亚密码加密的字符串就是刚才.message.swp文件最后的，
直接到在线网站解密，得到flag