easy_Forensic
先查看镜像信息,
vol.py -f secret.raw imageinfo再查看进程
vol.py -f secret.raw --profile=Win7SP1x64 pslist
没什么用
再获取文件
vol.py -f secret.raw --profile=Win7SP1x64 filescan
发现了一个压缩包
一个jpg
一个txt文本
或者直接过滤
vol.py -f secret.raw --profile=Win7SP1x64 filescan | grep txt
把它们都dump下来
vol.py -f secret.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007d84af20 -D ./hint.txt dump不下来
再来看一下图片,左下角有东西,修改宽高
得到压缩包的密码:Nothing_is_more_important_than_your_life!
可以看到gift里的内容应该是个密钥,wechat是聊天记录
https://github.com/x1hy9/WeChatUserDB,用这个来解
flag{The_Is_Y0ur_prize}
foundme
先去010看看,foremost文件分离一下
找出来一串英文
可以将视频格式改为AVIF格式,再将AVIF格式转换为jpg格式
https://www.aconvert.com/cn/image/avif-to-jpg/%C2%A0
Song
去010看到有压缩包之后,分离下
出来了两张图片和一个压缩包
压缩包解压之后出现了一张图片,都去010看看
里面藏了压缩包,叫我们不要爆破。。。
里面有个password
赛博厨子一把梭了
之后发现有个音频文件,提取出来
音频隐写
this_zip_password_is_QazWsx147!@#
找到密码
flag{lW9tUyrh8RzzvysrswAwY7MHR4mmbLSt}
