2020网鼎杯白虎组 MISC 密码柜
青龙组自闭misc手,过来看看白虎的题目。。
给了两个文件,一个镜像一个Database.kdbx
首先,这是一个win10的内存镜像,小菜鸡也是第一次见,因为win10特有的内存压缩机制,所以我的vol没法进行内存取证。。去搜了一下,知道了一个项目。是用来进行win10取证的,vol3应该也是支持的。
通过VOL查看进程和搜索,可以发现kdbx是keepass的数据库文件。keepass主要是用来储存密码的,数据库用一个密码来加密,从而达到安全的储存密码的目的,同时题目也提示密码柜,看来是这个东西了。
那么去找一下文件
可以找到一个密码柜备份.txt
密码柜的密码可不能忘了,毕竟那里面存着我最重要的东西
而且我走哪都要带着它
6s4mxkhvge
有用的是这个第三个密码,是kgb压缩包的压缩密码,去搜索这个something.kge文件,将文件dump下来,用密码解开应该就可以了。这个版本vol我这里dump不下来,所以目前还没做出来,比赛的时候也是做到这里卡住了。具体也还没搞清楚。。
来源:oschina
链接:https://my.oschina.net/u/4397388/blog/4281678