1.挑战说明

 

我的系统最近遭到入侵。黑客窃取了很多信息，但他也删除了我的一个非常重要的文件。我不知道如何恢复它。目前，我们唯一的证据就是这个内存转储。请帮帮我。

注意：此挑战仅由1个标志组成。 

本练习的标志格式为：inctf{s0me_l33t_Str1ng}

靶机地址：https://github.com/stuxnet999/MemLabs/tree/master/Lab%204

2.Flag获取过程

2.1 识别内存镜像的操作系统

vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw imageinfo

2.2 获取进程

vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 pslist

发现浏览器进程，可以尝试获取一下历史记录

2.3 获取IE历史记录

iehistory插件能够恢复IE历史索引的片段.dat缓存文件，看到几个疑似Flag相关文件，secrets.txt、flag.txt.txt、Important.txt.txt等

vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 iehistory

2.4 尝试提取敏感文件

在文件检索时，只能够检索到三个文件，且只有FXSAPIDebugLogFile.txt提取成功，其余的全部失败

vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 filescan |grep txt
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 filescan |grep png
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e88a8c0 -D ../memlabs/lab4
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fc398d0 -D ../memlabs/lab4
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fcb0070 -D ../memlabs/lab4
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e8d19e0 -D ../memlabs/lab4

2.5 对提取出的文件进行重命名并查看

在文件中检索fla，未发现有用信息

mv file.None.0xfffffa80022d1670.dat FXSAPIDebugLogFile.txt
vim FXSAPIDebugLogFile.txt

2.6 分析题意

我们无法转储文本文件的原因是被黑客删除，在这里我们需要了解MFT表，NTFS文件系统包含一个称为主文件表或MFT，对于NTFS文件系统卷上每个文件，MFT中至少有一个条目，且文件大小在小于等于1024字节会直接存储在MFT表，如果超过1024字节，则该表将仅包含其位置信息。

我们在MFT表中搜索：Important.txt、Screenshot1.png，发现Important.txt有data数据，Screenshot1.png无data数据

2.7 获取Flag

将.全部替换为空值，得到内容为：inctf{1_is_n0t_EQu4l_7o_2_bUt_th1s_d0s3nt_m4ke_s3ns3}Goodwork:P

最终Flag为：inctf{1_is_n0t_EQu4l_7o_2_bUt_th1s_d0s3nt_m4ke_s3ns3}