使用工具：Volatility、Passware Kit、Arsenal Image Mounter、DiskGenius

题目文件如下：

首先要知道这些文件是什么：

dmp后缀指Dump文件，是windows系统中的错误转储文件。包含计算机程序运行时的内存信息的文件。通常操作系统或应用程序在遇到系统崩溃、死机或其他严重错误时，会自动将程序运行环境的所有信息导出到一个.dmp文件中。所以可以利用该文件帮助程序员诊断程序运行过程中的错误，还可以获取账户、密码等敏感信息。因此，为了保护计算机安全和隐私，应该限制程序访问和存储.dmp文件。E01后缀是电子数据取证分析工具EnCase的一种证据文件格式。国内外的取证软件基本都支持E01镜像的制作。

所有工具和实验文件下载链接

https://download.csdn.net/download/m0_62574258/89471204

目录

小题1

小题2

小题3

小题4

答案

---

小题1

题目描述：现对一个windows计算机进行取证，请从内存镜像中获得taqi7的开机密码，得到的flag请使用NSSCTF{}形式提交。

题目相关文件保存到/root/test目录下，如下图

用两种解法

解法一：使用Volatility工具

(1)先用imageinfo判断当前的镜像信息，分析出是哪个操作系统

python2 vol.py -f /root/test/1.dmp imageinfo

可以看到推荐Profile为Win7SP1x64

(2)然后查看用户密码的hash值，profile指定为Win7SP1x64，然后指定hashdump

python2 vol.py -f /root/test/1.dmp --profile=Win7SP1x64 hashdump

(3)得到taqi7用户的密码哈希值为7f21caca5685f10d9e849cc84c340528，在线解密得密码明文为anxinqi

(4)也直接破解哈希值(需要安装mimikatz插件)，它是一种用于提取Windows用户名和密码的工具。

python2 vol.py -f /root/test/1.dmp --profile=Win7SP1x64 mimikatz

直接得到taqi7密码明文为anxinqi

解法二：使用Passware Kit工具

(1)打开Passware Kit工具，选择Memory Analysis内存分析

(2)选择1.dmp文件

(3)得到结果为anxinqi

小题2

题目描述：现对一个windows计算机进行取证，制作该内存镜像的进程Pid号是多少？得到的flag请使用NSSCTF{}形式提交。

使用Volatility 工具的pslist指令列出所有进程，然后找制作该内存镜像的进程MagnetRAMCaptu.exe

python2 vol.py -f /root/test/1.dmp --profile=Win7SP1x64 pslist

MagnetRAMCaptu.exe进程的PID为2192

小题3

题目描述：现对一个windows计算机进行取证，bitlokcer分区某office文件中存在的flag值为？得到的flag请使用NSSCTF{}形式提交。

(1)把G.E01和1.dmp都使用Arsenal Image Mounter工具挂载到电脑上

可以看到电脑上多了个E盘

但是该磁盘使用了BitLocker加密，所以无法打开

(2)选择passware kit的Full Disk Encryption功能然后选择BitLocker，由于我们有内存镜像，所以选择I have a memory image，这样就可以不用暴力破解，因为内存中通常会有恢复密钥。加密的镜像文件选择G.E01，内存镜像选择1.dmp

破解结果如下

破解恢复密钥为：368346-029557-428142-651420-492261-552431-515438-338239

而且还得到解密后的镜像G-decrypted.dd

(3)在DiskGenius中使用刚刚破解的恢复密码解锁磁盘

(4)恢复结果如下，有一个word、一个ppt、一个密码本、加密后的txt

(5)打开ppt和word都需要密码

(6)将得到的密码本添加到password kit工具中，选择添加字典文件

(7)选择得到的pass.txt，然后勾选保持原始的数据顺序

(8)然后选择添加的字典进行字典攻击

(9)ppt破解结果如下，得到ppt的密码为287fuweiuhfiute

word破解结果如下，得到word的密码为688561

(10)使用密码打开word发现没有flag，打开ppt结果如下

小题4

题目描述：现对一个windows计算机进行取证，TrueCrypt加密中存在的flag值为？得到的flag请使用NSSCTF{}形式提交

(1)小题3还得到一个名为新建文本文档的txt文件，该文件大小很大，且内容是乱码，推测是加密后的镜像

(2)由于题目说明了是TrueCrypt加密，然后选择passware kit的Full Disk Encryption功能然后选择TrueCrypt，选择I have memory image

要解密的文件选择新建文本文档.txt，内存镜像选择1.dmp

(3)得到解密后的镜像新建文本文档-unprotected.txt

(4)将新建文本文档-unprotected.txt改名为新建文本文档-unprotected.dmp，然后使用Arsenal Image Mounter将其挂载到电脑上

(5)然后打开DiskGenius，点击恢复文件，得到一个名为哈哈哈的压缩包

(6)打开该压缩包，发现需要密码

(7)使用passware kit导入该文件，发现写着可以快速解密，所以尝试用1到6位数字组合暴力破解，结果如下

(8)使用密码解压压缩包，得到一个txt文件，内容如下

答案

(1)NSSCTF{anxinqi}

(2)NSSCTF{2192}

(3)NSSCTF{b27867b66866866686866883bb43536}

(4)NSSCTF{1349934913913991394cacacacacacc}