高校战“疫” MISC ez_mem&usb Writeup

题目附件

链接:https://pan.baidu.com/s/16f7Fi3dCec_ID_lGrSOmNQ
提取码:dixr

题目说明

usb内存取证,最终得到的结果需要转换为小写字母

解题步骤

解压附件得到流量包, 打开流量包, 追送TCP流, 发现压缩包, 导出原始数据, 保存为zip
QQ截图20200308000150.png

解压得到data.vmem
QQ截图20200308000239.png

data.vmem放入kali中, 用foremost命令分离出了一大堆东西, 翻了一下发现一个加密的压缩包, 里面有usbdata.txt, 先放一边, 继续分析data.vmem
QQ截图20200308000347.png

用volatility分析文件, 执行volatility -f data.vmem imageinfo得到系统版本
QQ图片20200307235640.png

volatility -f data.vmem --profile=WinXPSP2x86 pslist命令看一下进程, 发现有cmd.exe
QQ截图20200307235838.png

再用volatility -f data.vmem --profile=WinXPSP2x86 cmdscan查看命令行中输入了什么
发现passwd, 用这个密码取解密刚才的压缩包
QQ截图20200307235926.png

解密后打开usbdata.txt, 发现是USB数据, google一下USB协议文档
QQ截图20200308000510.png

在这个文档里找到了USB协议
https://patentimages.storage.googleapis.com/6d/6c/15/46fc9661672590/CN102662431A.pdf
对照协议, 得到了flag

flag{69200835784ec3ed8d2a64e73fe913c0}
最后修改:2020 年 07 月 15 日 03 : 20 PM