巅峰极客easy_Forensic

压缩包 解压得到raw文件导入diskgenius

20221.PNG

奈何没有专业版只导出hint.txt和secret.zip

1
2
3
hint:
is _
not

压缩包要密码 用vol

vol.py -f secret.raw filescan –profile=Win7SP1x64 filescan >1.txt

把桌面的文件都导出来

1
2
3
4
5
6
7
0x000000007d80a7d0     16      0 R--r-- \Device\HarddiskVolume1\Users\Admin\Desktop\gift.jpg
0x000000007d84e350     14      0 R--rw- \Device\HarddiskVolume1\Users\Admin\Desktop\secret.zip
0x000000007dae0420     10      0 R--rw- \Device\HarddiskVolume1\Users\Admin\Desktop\wechat.txt
0x000000007de7c070     11      0 R--r-d \Device\HarddiskVolume1\Users\Admin\Desktop\MRCv120.exe
0x000000007dfa9150      9      0 R--r-d \Device\HarddiskVolume1\Users\Admin\Desktop\MRCC206.tmp
0x000000007f1e6ad0      1      1 -W-r-- \Device\HarddiskVolume1\Users\Admin\Desktop\111.raw
0x0000000072e8bf20      2      0 -W-rw- \Device\HarddiskVolume1\Users\Admin\Desktop\EULAaccepted.dat

有用的就jpg txt zip

1
gift.jpg: vol.py -f secret.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007d80a7d0 --dump-dir=./

打开图片

20223.PNG

看着像有东西 改一下图片高度

20224.PNG

根据hint的内容空格应该是要换成下划线

1
password:Nothing_is_more_important_than_your_life!
1
解压缩得:A gift for You:  wHeMscYvTluyRvjf5d7AEX5K4VlZeU2IiGpKLFzek1Q=

WeChat.txt应该是微信的数据库文件

https://github.com/x1hy9/WeChatUserDB 网上找的脚本直接用把txt改成db

20225.PNG

压缩包内的内容就是key了 将文件放入WIN_WECHAT_DB文件夹中

1
main.py -d windows -k wHeMscYvTluyRvjf5d7AEX5K4VlZeU2IiGpKLFzek1Q=

DECRYPT_WIN_WECHAT_DB 找到解密后的文件用010打开直接搜flag

20226.PNG