Ez Forensics详解

题目要求：

数据库版本 + 字符集格式 + 最长列名 示例：NSSCTF

步骤：

解压压缩包得到forensics.vmdk，.vmdk是虚拟机磁盘文件的元数据文件

可以用美亚的取证大师直接导入自动分析，也可以使用 diskgenius 挂载

有四个压缩包，其中3.zip被删除了

在丢失文件中可以找到

也可以找到 mysqp.exe（实际上是个zip）

两者一样

获取数据库版本

四个zip中里面各有的三个文件刚好是数据表的数据，这里也可以得到 数据库版本为 v5.7.26

可以看出后缀.1是frm文件，.2是MYD文件，.3是MYI文件，只要将后缀更改之后，放到软件里即可正确识别mysql表

mysql 数据库
存储引擎是myisam, 在data目录下会看到3类文件：.frm、.MYD、.MYI
（1）.frm–表定义，是描述表结构的文件。
（2）.MYD–"D"数据信息文件，是表的数据文件。
（3）*.MYI–"I"索引信息文件，是表数据文件中任何索引的数据树

获取列名

在本地的mysql环境下新建一个数据库，并导入这四张表

用Navicat连接查看

其中表2中的列名是最长的

得到最长列名：listen

获取字符集格式

查看数据库属性

得到字符集格式：utf-8

最终flag：NSSCTF{v5.7.26+UTF-8+listen}