CTFSHOW 取证部分刷题笔记

JiaJia-CP-1

1.佳佳的电脑用户名叫什么(即C:\Users\{name})

提取文件列表后搜索路径

image-20250320111411409

得到答案

JiaJia

2.最后一次运行计算器的时间?(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)

查看用户助手(userassist)

image-20250320111555761

2021-12-10 12:15:47 UTC+0000

但是这里是 UTC+0000 需要转化到 UTC+8000

2021-12-10 20:15:47 UTC+8000

这里查看时间线(timeline)也可以看到

image-20250320111904519

综上所述

JiaJia_2021-12-10_20:15:47

JiaJia-CP-2

1.佳佳在公司使用了一款聊天软件,请问此软件的版本号为?

在desktop路径下查看文件,发现聊天软件

image-20250320112402911

将文件dump下来后更改后缀为exe,查看属性,即可看到版本号

image-20250320112601958

3.3.0.0

2.佳佳在网页上登录了自己的邮箱,请问佳佳的邮箱是?

这里想的是如果是本地邮箱登陆会存有登陆信息 但在Storage目录下没有找到,看其他师傅的文章发现是在截屏(screenshot)里

image-20250320114950807

a2492853776@163.com

综上所述

3.3.0.0_a2492853776@163.com

JiaJia-CP-3

1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)

和第一题的计算器一样

image-20250320120113912

2021-12-10 12:28:43 UTC+0000

转化到 UTC+8000

2021-12-10 20:28:43 UTC+8000

2.佳佳解压了从chrome下载了一个压缩文件,此文件的相关内容信息已经写入了到环境中,请问文件的内容是?

查看环境变量(envars)

image-20250320120738526

得到答案

Th1s_i5_Ur_P5wd

综上所述

2021-12-10_20:28:43_Th1s_i5_Ur_P5wd

JiaJia-PC-1

1.产品秘钥(卷影)

在 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform 路径下查看

image-20250320121623058

YC7N8-G7WR6-9WR4H-6Y2W4-KBT6X

2.windows系统版本号

在 设置-关于 中进行查看

image-20250320121741116

21H2

综上所述

YC7N8-G7WR6-9WR4H-6Y2W4-KBT6X_21H2

JiaJia-PC-2

1.佳佳的QQ号是多少?

可以看到这个电脑里下载了Foxmail,在 C:\Foxmail 7.2\Storage 路径下可以看到登陆信息

image-20250320121957900

得到答案

2492853776

2.金额统计.rar是由哪个QQ号通过邮箱发送来的?

将用户文件在本机中配置进入查看

image-20250320122253104

image-20250320122259898

得到答案

77602440

3.金额统计文档的作者是谁?

解压后查看属性

image-20250320122453618

得到答案

mumuzi

综上所述

2492853776_77602440_mumuzi

JiaJia-PC-3

1.佳佳使用了公司指定的聊天软件,并且使用了此软件的远控功能,请问整个远控持续了多少秒?

在邮箱中可以看到使用的远控软件

image-20250320123024304

查看 connection_incoming 文件,可以看到远控时间

image-20250320123141108

计算得到时间

163

2.此软件是在多久被开始安装的,请将空格替换成下划线

按修改时间排序,查看最早的日志文件

image-20250320123331228

查看最早的日志

image-20250320123939107

日志开始记录的时间就是安装时间,得到答案

2021/12/14_22:14:14.804

但是发现在 C:\Program Files\TeamViewer 路径下的不对,最后发现是用户目录(C:\Users\Jia~miao\AppData\Roaming\TeamViewer)下的日志文件开始记录时间

image-20250320130156284

2021/12/14_22:14:00.570

3.除开开机密码外,佳佳喜欢使用一个通用密码,请找出此密码。

查看桌面可以发现Edge Google和Firefox浏览器,查看浏览器中保存的密码

image-20250320123730440

在Firefox中找到密码,得到答案

Miaojia123

综上所述

163_2021/12/14_22:14:00.570_Miaojia123
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇