2024年能源网络安全大赛团体初赛

1.png

1.将browser.raw放入volatility文件夹中，使用volatility查看当时保存内存状态，在cmd下使用命令

volatility_2.6_win64_standalone.exe -f browser.raw imageinfo

2.png

可以看到，在Suggested Profile(s)处给出了几个建议性的profile，下边还提供了CPU时间等详细信息。
2.查看当时运行的进程，以及对应进程的详细状态信息。一般选择第一个profile，在cmd下使用命令：

volatility_2.6_win64_standalone.exe -f browser.raw --profile=Win7SP1x64 pslist

3.png

当然，此处也可以使用pstree的方式查看进程

volatility_2.6_win64_standalone.exe -f browser.raw --profile=Win7SP1x64 pstree

3.查看当时缓存在内存中的注册表情况。在cmd下使用命令：

volatility_2.6_win64_standalone.exe -f browser.raw --profile=Win7SP1x64 hivelist

4.png

其中需要注意Virtual地址，其它操作需要经常使用到虚拟地址。
4.如果有想要打印出来的注册表中的数据，可以使用命令：

volatility_2.6_win64_standalone.exe -f browser.raw --profile=Win7SP1x64 hivedump -o 注册表对应虚拟地址

后面发现解题关键在注册表中查找默认浏览器的值！！！
此处应选择使用注册表ntuser.dat所对应的虚拟地址，查看注册表ntuser.dat下的注册表数据。

5.png

默认浏览器的值
"Software\Microsoft\Windows\Shell\Associations\UrlAssociatio ns\http\UserChoice"

volatility_2.6_win64_standalone.exe -f browser.raw --profile=Win7SP1x64 printkey -K "Software\Microsoft\Windows\Shell\Associations\UrlAssociatio ns\http\UserChoice"

6.png

后面发现这是加密压缩包怎么也找不到的密码！！！

Tor-Browser-v2.51

5.使用memdump可以将当时内存中的某个进程数据提取出来，以dmp格式进行保存，命令如下：

volatility_2.6_win64_standalone.exe -f browser.raw --profile=Win7SP1x64 memdump -p 1104 -D ./

-p 指定的进程ID，选择explorer.exe进程PID——1104
-D dump出的文件保存在哪个目录下，./保存在当前目录

7.png

8.png

7.由前可知解压密码是Tor-Browser-v2.51，解压得到

flag{e3ed8aa2-68d4-4cc8-a664-1f3fd8136325}

9.png