陇剑杯 2021

内存分析（问1）

网管小王制作了一个虚拟机文件，让您来分析后作答：
虚拟机的密码是_____________。（密码中为flag{xxxx}，含有空格，提交时不要去掉）。

mimikatz一把梭了

flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}

内存分析（问2）

网管小王制作了一个虚拟机文件，让您来分析后作答：
虚拟机中有一个某品牌手机的备份文件，文件里的图片里的字符串为_____________。（解题过程中需要用到上一题答案中flag{}内的内容进行处理。本题的格式也是flag{xxx}，含有空格，提交时不要去掉）。

先查看信息

vol.py -f Target.vmem imageinfo

查看一下桌面文件

vol.py -f Target.vmem --profile=Win7SP1x64 filescan | grep Desk

提取一下

vol.py -f Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007d8c7d10 -D ./..

再文件分离一下，得到华为的文件夹

https://github.com/RealityNet/kobackupdec用这个软件解密

密码是上题的W31C0M3_T0_THiS_34SY_F0R3NSiCX

python kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX "HUAWEI P40_2021-aa-bb xx.yy.zz" D:\666

flag{TH4NK Y0U FOR DECRYPTING MY DATA}