| 任务编号 | 在取证镜像中的文件名 | 镜像中原文件Hash码(MD5,不区分大小写) |
|---|---|---|
| evidence 1 | sys.dll | d3c5335367e17b966a13e2663235a1ff |
| evidence 2 | 没找到 | |
| evidence 3 | hack.png | 1308b0d65360eba6a47224733f13ca84 |
| evidence 4 | sea.png | 1c990420fc307c7bd2b65396c5e5e13f |
| evidence 5 | tmp | da5d01d2f7e8c37ab1c1857be587ad74 |
| evidence 6 | cve.xlsx | c2b9d953d7e04c8e0d08fee3bd4513cd |
| evidence 7 | wb.zip | cdc07e85116b037c40351c49da6eb35a |
| evidence 8 | display | 8b2da168f3221d343c4e3f1aceed3e88 |
| evidence 9 | z.x | 14046db8621b2aca9ffced76d23cc6e9 |
| evidence 10 | topy.docx | 04b87697a5fd9e168ced165d21d177e3 |
evidence 1
第一个在磁盘根目录下
解码
右键保存,计算md5
d3c5335367e17b966a13e2663235a1ff
evidence 3
在visual 文件夹中找到hack.png
使用kali分析
发现使用binwalk -e 命令分离出现问题
改用dd命令分离
打开后发现只有evidence,没有数字号
使用010打开原图片查看
发现第一张图片的结尾和第二张文件开头有一段base32编码
png是文件头固定
iend是文件尾编码固定
进行解码
以下文件md5值不再举例,参考evidence 1方法就可以了
evidence 4
使用Stegsolve.jar工具
解出
evidence 5
使用kali分析,zip格式,修改后打开发现不对,使用010查看下
查找50 4b(是zip文件头)
01 02 是结束标志
再看一下发现是只删除了文件头,进行添加就行了,不理解就自己做个压缩包拉到010查看下就懂了
插入方法
然后修改成zip文件头就行了
再打开压缩包显示tmp文件
kali分析
刚拖到kali就直接显示图片了
evidence 6
磁盘根目录下cve.xlsx文件,一般这种题目都是改颜色就出来了
打开选择全部标记全红,结果发现没有
kali分析
excel 存储数据实际上是通过xml存储 的,这⾥的 xlsx ⽂件是可以直接解压的
使用grep搜索,找到evidence6
-r 代表递归搜索
-i 代表不区分大小写
evidence 7
用kali打开查看,显示是png文件
修改后缀成wb.png打开查看
图片下还有内容,使用010修改高度成900
900换算成16进制就是0384
010
再次打开显示
evidence 8
根目录下直接找到了
讲一下怎么做出来的吧
kali分析
查看时excel表格,修改后缀.xlsx
就跟上面说的一样,选择全部然后标记红出来了
evidence 9
磁盘根目录找到z.x
kali分析
是XZ压缩包,修改成XZ,解压发现是套娃
file查看
修改后缀bmp就出来了
evidence 10
也是打开就显示了
