[2021年祥云杯]层层取证
想从该题为例进行一下手动仿真镜像的学习
下载得到memdump.mem和Forensic_image.001-009
前者为内存镜像,后者在查看txt内容看到是使用AccessData FTK Imager生成的硬盘镜像
取证比赛结束后授权过期了,于是考虑手动仿真
手动仿真有两种方法,第一种是先挂载到本地磁盘再用vmware仿真
方法一*
一.FTK IMAGER 挂载镜像到本地
使用FTK Imager“可写”模式,挂载系统镜像到本地驱动器
1.选择 IMAGER MOUNTING
2.选择系统镜像挂载
1)选择需要挂载的镜像文件;
2)选择"Block Device/Writable";//此步骤不可省略,否则无法成功仿真
3)点击"Mount";
4)记住"驱动器号";mount成功后,会在本地磁盘显示出新的分区,可以打开Windows资源管理器查看,以及默认在镜像位置新生成一个后缀为“.adcf”的镜像同名文件,用来存放可写模式下镜像虚拟写入的文件。
点击mount挂载后就会将镜像挂载到本地
二.VMWARE新建虚拟机导入本地磁盘
可参考博文https://www.freesion.com/article/51701409948/#DDE01_8的第二部创建虚拟机
经过内存镜像分析可得该镜像为为win7 64位系统
选择使用物理磁盘,找到FTK Imager挂载的驱动器号
可是使用vmware启动却一直报错已被占用,经百度查询无法解决。。。于是采用另一种仿真方法
方法二:制作镜像为vmdk然后再仿真
一.FTK里将Forensic_image导出为img文件,输出到本地
选image File
将Forensic_image.001文件导入然后点击finish,之后
点击下一步,选择输出的文件夹和文件名,注意下方改为0
提取镜像后改后缀名为img即可
二.使用V2V_Converter工具输出为vmdk文件
打开V2V_Converter,导入.img文件,之后全选默认即可
三.vmware新建虚拟机,导入vmdk文件
和方法一新建虚拟机步骤相似,只是在下面的一步选择使用现有磁盘
接着启动虚拟机就可以了
我们接着回到本题,用取证大师加载一下,发现有一个磁盘采用了bitlocker加密
使用efdd工具可以通过内存镜像破解bitlocker加密的磁盘
恢复出key了
用该key在取证大师bitlocker用恢复密钥串可解密该磁盘,看到该盘下有一个流量包
导出分析一下
追踪udp流里找到一个rar,里面包含了一个flag.docx
导出rar压缩包,发现加密,且提示与计算机加密密码相同
再考虑看一下用户桌面,用户XinSai的桌面只有一个wireshark安装包,不知道题目是否与流量分析有关,用户Xiaoming的桌面有一个flag.txt
提示让我们仿真,猜测是windows桌面便签可能有什么信息
登录xiaoming需要密码,可以在给定的内存镜像中获取
使用passwarekit工具加载内存镜像可得
仿真进入桌面
知道开机密码了就可以解压之前导出的压缩包
再用桌面的文档密码解密flag.doc进入可以看到flag
