概述
TrueSecrets是来自于HTB(hackthebox.com)的一个容易级数字鉴识挑战,完成该挑战所需要掌握的知识点在于Windows内存分析和基本的DES加解密。
题目分析
相关的任务文件包括一个zip压缩包,其中提供了内存dump文件TrueSecrets.raw。
解题过程
我们使用Volatility 2内存分析工具对TrueSecrets.raw进行分析。
首先列出所有运行的进程。
注意其中的TrueCrypt.exe和7zFM.exe。
然后列出这些运行进程的进程号和命令行参数。
发现7zFM.exe打开C:\Users\IEUser\Documents\backup_development.zip文件。
接着使用dumpfiles命令从内存dump中使用7zFM.exe的进程号获取与其相关的所有文件。
vol.py -f TrueSecrets.raw --profile=Win7SP1x86_23418 dumpfiles -D 。 -S summary.txt -p 2176
根据summary.txt中给出的数据,我们可以获得backup_development.zip文件。
将其解压后,得到development.tc文件。 该文件是TrueCrypt生成的硬盘镜像文件, 使用truecryptpassphrase命令可以从内存dump中获取打开该文件的密码。
vol.py -f TrueSecrets.raw --profile=Win7SP1x86_23418 truecryptpassphrase
使用TrueCrypt代开development.tc文件后,我们可以得到AgentServer.cs以及sessions目录下若干个.log.enc文件。
AgentServer.cs中实现了一个简单的DES加密过程,加密所得到的密文则保存在.log.enc文件中。
最后,我们使用AgentServer.cs中提供的key和iv值对所有密文进行解密,就可以获得flag.
