标签：陇剑杯 文件 github 抓取 虚拟机 第六 解密 备份文件 内存

网管小王制作了一个虚拟机文件，让您来分析后作答：

 

github上下载开元内存取证框架Volatility

windows直接下载发布压缩包

https://github.com/volatilityfoundation/volatility3/releases/tag/v1.0.1

开始做题：

题目6.1：虚拟机的密码是——。

1、使用imageinfo参数获取镜像系统信息。

 2、使用hashdump抓取哈希值

3、发现抓取出来的hash无法直接解密，尝试直接抓取明文。

根据题意，找到密码

题目6.2 虚拟机中有一个某品牌手机的备份文件，文件里的图片里的字符串为_____。

1、根据题意，将镜像中的所有文件名称导出。

 2、根据搜索国内常见的手机品牌，确定该手机品牌，筛选出属于该品牌的文件。

 3、将华为手机的相关文件下载下来，找到了手机的备份文件images0.tar.enc，位置在桌面。但是

由于华为手机助手加密的文件解密时需要依赖整个文件夹中的文件，只有一个images0.tar.enc是不行的。这个时候仔细观察了目录结构，发现这些文件都位于xx.yy.zz这个文件夹下面。

 4、提取xx.yy.zz.exe文件

 5、有了完整的路径，就可以解密了。

下载华为备份文件解密脚本：https://github.com/RealityNet/kobackupdec

6、解压查看得到flag。

 

 

 

标签：陇剑杯,文件,github,抓取,虚拟机,第六,解密,备份文件,内存
来源： https://blog.csdn.net/qq_32393893/article/details/120309155

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。