JiaJia-CP-1,2,3的WP(2)

 一.JiaJia-CP-2

 一看题目，聊天软件，用的什么聊天软件直接userassist看运行过什么程序

vol -f JiaJia_Co.raw --profile=Win7SP1x64 userassist

 发现Telegram.exe(小飞机)

可能性很大啊(真是个摸鱼大神)

除此之外，filescan也能看到，提取文件对象（file objects）池信息也能找到Telegram.exe(加个grep管道符筛出来岂不是更快乐！)

vol -f JiaJia_Co.raw --profile=Win7SP1x64 filescan | grep "Telegram"

 输出这些结果：

一看，两个Telegram.exe，还有一个日志文件，那就拿它仨下手吧

使用 dumpfiles 提取内存中映射或缓存的文件，-Q参数指定偏移量（虚拟地址），-D 指定导出的目录地址。先导出日志文件并查看。

vol -f JiaJia_Co.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000013dd413f0 -D ./

整下来个文件，用cat命令查一下

version：版本的意思，3003000，试着提交发现不对，那就对另一个下手：

vol -f JiaJia_Co.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000013fde26a0 -D ./

发现一个img后缀，file命令看了一下：

file file.None.0xfffffa8006065d10.img

结果如下：

 它表明你有一个名为 file.None.0xfffffa8006065d10.img 的文件，这个文件是一个可执行文件（GUI，即图形用户界面），它是针对64位的x86架构的操作系统（即Windows）编译的。

发现不对劲，把文件名改成exe文件在拖到主机上看一看（主机是Linux当我没说）

mv file.None.0xfffffa8006065d10.img file.None.0xfffffa8006065d10.exe

 

小灰机软件啊，看看属性就知道是什么版本了：

 3.3.0.0版本，版本号搞出来了，接着就是邮箱了，使用 iehistory 插件尝试获取信息

vol -f JiaJia_Co.raw --profile=Win7SP1x64 iehistory | grep ".*@.*com"

结果如下：

因为题目并未说明佳佳使用的是什么邮箱，而输出结果中有好多邮箱，比如 jiajia@sohu.com、jiajia@sogou 等邮箱，尝试输入flag也都错误。大多数人应该都能想到，正常情况下邮箱@符号前应该不会如jiajia这样字符那么少。于是需要换一种方法试一试，比如使用 screenshot 插件，获取保存基于GDI窗口的伪截屏，或许可以获取我们想要的信息。

    用户活动监控：通过捕获屏幕截图，分析人员可以了解用户在系统上的活动，例如他们打开的文件、所处的应用程序或浏览的网页。
    发现恶意软件行为：通过截取系统中运行恶意软件时的屏幕截图，分析人员可以深入了解恶意软件的行为和功能。
    检查系统状态：屏幕截图可以提供系统在特定时间点的状态快照。

vol -f JiaJia_Co.raw --profile=Win7SP1x64 screenshot -D ./

发现一堆png图片，找吧，众里寻他千百度，蓦然回首，flag却在灯火阑珊处。 （呜呜呜，终于找到了）：

邮箱是 a2492853776@163.com（图片到时候自己放大看吧）

flag：ctfshow{md5(3.3.0.0_a2492853776@163.com)}=>ctfshow{f1420b5294237f453b7cc0951014e45a}

MD5加密工具在上个文章有，自取吧，今天就这样了。