2024年12月

是的,福建还没下文件,我最近精神状态感觉也有点问题了,一直不能收心学习,感觉人有点轻微的抑郁了,烦烦烦,感觉最烦的事情应该就是考上这学校和答应打评估了。
评估的一些文章可以参考我大哥的
信息安全与评估

题目介绍

A集团某电脑系统感染恶意程序,导致系统关键文件被破坏,该集团的技术人员已及时发现入侵行为,并对系统内存和硬盘做了镜像固定。请根据A集团提供的磁盘镜像和内存镜像的原始证据,分析并提取入侵行为证据。(本题所需要分析的操作系统为windows系列或linux 系列)。

找到内存中的恶意进程

查看进程

./volatility -f adminnc.raw --profile=Win2003SP1x86 pslist

2025-07-20T20:34:52.png

找到恶意程序偏移后的进程号

查看所有网络连接

./volatility -f adminnc.raw --profile=Win2003SP1x86 connections

2025-07-20T20:35:42.png

找到恶意网站链接

查看浏览器最近访问记录

./volatility -f adminnc.raw --profile=Win2003SP1x86 iehistory

2025-07-20T20:35:55.png

找到该文件所在的Virtual地址

./volatility -f adminnc.raw --profile=Win2003SP1x86 hivelist

2025-07-20T20:36:06.png
0xe171b008就是虚拟内存,0x1d73e008 \Device\HarddiskVolume1\WINDOWS\system32\config\software

找到恶意程序植入系统的开机自启痕迹,将启动项中最后一次更新的时间

解析是否存在开机自启项:

./volatility -f adminnc.raw --profile=Win2003SP1x86 -o 0xe171b008 printkey -K "Microsoft\windows\CurrentVersion\Run"

2025-07-20T20:36:15.png
shimcache 命令

./volatility -f adminnc.raw --profile=Win2003SP1x86 shimcache

2025-07-20T20:36:24.png

答案汇总

序号任务内容答案
1找到内存中的恶意进程flag{test.exe}
2找到恶意程序偏移后的进程号
flag{1172、3568}
3找到恶意网站链接
flag{http://192.168.44.105:8080/77sA8gJu1}
4找到该文件所在的Virtual地址
flag{0xe171b008}
5找到恶意程序植入系统的开机自启痕迹,将启动项中最后一次更新的时间
flag{2014-11-20 06:27:32}

前言

太抽象了,绷不住,稳了一天,以为可以不遗憾了,拿个高职组第一,最后五分钟差不多,家被偷了,没有密码✌,re又是go的,难崩,前面好多都是本科✌,呜呜呜,终究还是梦碎福师大了,太卷了
2025-07-20T20:30:47.png
2025-07-20T20:30:59.png

解题

蛮把misc写了吧,感觉挺好玩的其实

evidence

题目大概描述就是有个压缩包,密码在剪切板这样

用vol先看镜像信息

./volatility -f easyraw.raw imageinfo

然后根据他的意思,找一下压缩包,因为我的思路是东西应该是在桌面,就直接搜索桌面的文件了

./volatility -f easyraw.raw --profile=Win7SP1x64 filescan |grep Desktop

还真桌面看到flag.zip了,我就直接dump下来了
2025-07-20T20:31:12.png

./volatility -f easyraw.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007e79e450 -D ./

拉到桌面改后缀确定了他就是要的zip,在剪切板看密码

./volatility -f easyraw.raw --profile=Win7SP1x64 clipboard

2025-07-20T20:31:24.png
解压得到flag

DASCTF{584169a7074d6c8563512c76e3658bb3}

findme

下载解压后是一个001后缀的文件,一开始没啥思路吧,丢kali里面用binkwalk分离了一下

binwalk -e findme.001 --run-as=root

得到一个压缩包,里面有好几个文本文件
2025-07-20T20:31:37.png
然后strings这个001后缀的文件,得到解压密码
2025-07-20T20:31:44.png
解压之后发现里面flag基本都是false,用kali写个命令找到true的

grep -i "true" ./*

2025-07-20T20:31:54.png

DASCTF{b731d45d-7de4-4ae5-9eb2-ae6e889cc2ef}

不良劫

下载就一张图片,看题目的意思以为是修改宽高,然后就试了试发现没用,就试了盲水印
2025-07-20T20:32:05.png
勉勉强强可以看到一点,下载下来慢慢看,得到一半的flag

8b33-ced16f847e39

用foremost又得到一个残缺的二维码
2025-07-20T20:32:15.png
直接ps开始手修,或者使用工具https://merri.cx/qrazybox/

如果没修好也没事,用cyberchef可以硬读(原理是qrcode的容差)

最终成品:
2025-07-20T20:32:23.png

DASCTF{014c6e74-0c4a-48fa-8b33-ced16f847e39}

gza_Cracker

抽象的哥斯拉流量爆破,好抽象啊呜呜呜,开局先看看能导出什么文件
2025-07-20T20:32:33.png
首先是翻到了这个类似于字典吧,接着随便找一个包,base64解密
2025-07-20T20:32:51.png
发现51e65..开头类似密钥的东西(原理是XOR的特性)

写一个字典批量转md5的脚本

import hashlib

# 打开文件
with open('dict.txt', 'r', encoding='utf-8') as f_in, open('out.txt', 'w', encoding='utf-8') as f_out:
    # 读取并处理每一行
    for line in f_in:
        # 去除行尾的换行符
        line = line.strip()
        # 对字符串进行MD5加密
        md5_obj = hashlib.md5(line.encode('utf-8'))
        # 获取加密后的32位密文
        md5_str = md5_obj.hexdigest()
        # 将密文写入到新文件
        f_out.write(md5_str + '\n')

搜索发现是Antsw0rd,然后在第14个包解密得到一段base64
2025-07-20T20:33:06.png
解密base64得到flag
2025-07-20T20:33:15.png

DASCTF{M0Y_W1sh_Y0u_LogF1le_Usg32WEM}