[陇剑杯 2021]内存分析

image-20241010201618918

1
由于刚开始接触啥都不会,写一写咋抄的答案
  1. 跟其他的一样,由于是问密码,先是 -f 文件 imageinfo 把 profiles 的第一个记录下来后面要用

image-20241010201743268

  1. 由于是密码,所以可以 -f 文件 –profile=Win7SP1x64 hashdump 看到md5,能解密就解密得到答案////

    这题也可以 -f 文件 –profile=Win7SP1x64 lsadump 直接得到答案

image-20241010202112070

  1. 第二题纯抄答案,wp说要查看桌面寻找一个HUAWEI文件,没想到实在是太多了,根本找不到

    1
    --profile=Win7SP1x64 filescan igrep "Desktop"

image-20241010202227555

  1. 后来又在另一个wp中看到可以直接寻找HUAWEI ,但是为啥是HUAWEI ….

    1
    --profile=Win7SP1x64 filescan | findstr "HUAWEI"

    image-20241010202454737

  2. 上面就非常清楚地看到了这个文件,直接把前面的提取下来

    1
    --profile=Win7SP1x64 dumpfiles -Q 提取地址 -D 存放地址

image-20241010202612386

  1. 提取出来左翻翻右翻翻我也看不懂,wp直接说HUAWEI解密

    image-20241010202737318

  2. 直接去下载了kobackupdec.py,直接执行,注意最后是他会帮你创建一个文件夹,不能存在同名文件夹

    1
    python C:\Users\陈亮\Desktop\re\huawei解密\kobackupdec-master\kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX "F:\study\内存分析\HUAWEI P40_2021-aa-bb xx.yy.zz" "F:\study\内存分析\解密结果"

  3. 最后得到一个文件夹

    image-20241010203050605

    image-20241010203114800

    这个压缩包里有flag

    image-20241010203133344