type
Post
status
Published
date
Nov 7, 2022
slug
3
summary
isctf出题记录
tags
出题记录
取证
category
MISC
icon
password
写在开头:
最近为了准备ISCTF的套娃题,想起来可以外层套一个取证的皮,但是本来的环境因为电脑重装就无了,所以重新用虚拟机搭了一个Win7的环境,然后遇到了几个之前遇到过的问题,那个时候没有记录,导致配环境浪费了很多时间,这边就小小的记录一下吧。 win7取证的话,硬盘容量建议开大一点,给25g,他自身好像是占了13g,然后一些补丁后续要加,我尝试了20G,容量不够,25G就足够的空间了
Step1:环境镜像
我使用的是VMware搭的虚拟机,去官网下的镜像,这边就直接放一篇博客了,参考博客,镜像版本选取什么应该大抵是没什么问题的,实在要参考的话,我这边选择的是这款,怎么有两款,忘了是哪款了,自己试试吧,应该是64位的那款。
.png?table=block&id=871832a1-084c-4988-b679-9026e6906f19)
Step2:SP1问题
出题最主要的就是问个SP1问题了,为什么捏,因为我想安装vmtools,否则我的附件以及dump出来的内存镜像无法从虚拟机中导出来,看了网上几篇《很老》的教程,都是千篇一律的从微软官网下载补丁,然后移进去,然后安装补丁就好了,很简单,但是他们好像忽略了一个问题,没有vmtools,我根本移不进去啊(不知道是不是我虚拟机的问题)。凭借一个misc手的直觉,我最后发现了一个很好地方法,就是使用UltraISO。
.png?table=block&id=5e6bd580-9738-41ed-90d9-e13733ceba7b)
我们可以把自己想要传入到虚拟机中的东西,用Ultra打包成iso镜像,然后直接丢进去。
ps:试过插U盘,但是报错U盘无法解析
Step3:具体解决方法
1、创建ISO镜像
.png?table=block&id=239ecfe7-a42e-4b21-91ad-3257f05d7b9e)
我们将自己想要移到虚拟机中的文件移动到右上方的地方,就直接点住图标拖过去就行,然后点左上角直接保存即可
2、导入镜像
然后我们打开VMware win7的虚拟机,导入ISO镜像即可
.png?table=block&id=07b003b4-7705-4de0-ab9e-065bc63eea82)
然后就打开虚拟机就可以啦
3、打开文件
.png?table=block&id=e98418b6-15f3-4d59-8d76-fb570ee557d6)
打开驱动
.png?table=block&id=b2ca4ae0-d4e5-4113-9161-040f0f3e7e14)
将里面的内容移到桌面上就好了
Step4:打补丁
这边有两个补丁要打,一个是更新程序?还有一个就是sp1
可以自己去官网下,链接自己找,用IDM下很快,或者用我的百度网盘(没会员就不怪我了奥,大小1.4G,体验30s应该也可以下一大部分),顺便把dump.exe也给啦,一个32位的,一个64位的,自己对应版本使用即可
链接:https://pan.baidu.com/s/1r5AcV9z7UxV3-SdjdFNaYA?pwd=yv4m 提取码:yv4m
然后我记得好像是先装exe那个?无所谓,自己都试一试,两个装完之后就可以快乐地安装vmtools了。
Step5:开始出题
我这边是设置了两个考点,一个是开机密码是flag123456,他是以hash存储的,是可以解出来的。还有一个就是桌面上的文件
.png?table=block&id=8985812d-433d-451f-8c46-1f4109f9e3b2)
把你想要的东西放在桌面上,进阶一点,你可以在你的命令行里打一些命令,或者在你的剪切板,ie浏览器里访问一些网站,这些就靠你自己去尝试啦。最后运行dumpit.exe就好了,直接拖到终端运行即可
.png?table=block&id=9ef99ac5-490f-4b11-bf66-2d114cacf711)
然后按下y,一个题目就出好咯,可以去欺负小新生了,下班!
- 作者:Dr34m
- 链接:https://tangly1024.com/article/3
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
