技术分享ldquo翼龙取证塔r

下载“祥云杯-层层取证”题目后解压，得到一份电脑磁盘镜像和一份内存镜像。

磁盘镜像

内存镜像

既然是电脑磁盘镜像和内存镜像，小拓立马想到要用本公司的“翼龙取证塔”进行分析。

翼龙取证塔

下面跟着小拓来看看怎么使用“翼龙取证塔”进行解题的吧！

第一步

使用“介质分析系统”对电脑磁盘镜像进行分析，程序自动提示该镜像存在加密分区。既然题目又提供了内存镜像，那内存镜像里大概率能分析出相关密钥信息了。

加密分区提示

第二步

使用“介质分析系统”中的内存解析工具对内存镜像进行解析。在解析结果中的BitLocker项，发现了Bitlocker密钥信息，将密钥文件导出。

内存镜像解析界面

密钥解析结果

第三步

使用“介质分析系统”中的数据解密功能，导入密钥文件对加密分区进行解密，解密后查看该分区内容，发现有一个名称为2.pcapng流量包文件，可能与解题有关，把该文件导出备用。

Bitlocker加密分区解密

分区数据内容查看

第四步

使用“介质分析系统”对该镜像进行一键分析，查看分析结果，在最近访问文档中发现最后的访问文档是一个名为flag.txt。预览该文件，得到了“hint:你连电脑都不能仿真，还想要flag?”的信息，推断此题应该要对镜像进行仿真。

文档预览

第五步

使用“主机仿真系统”，对磁盘镜像进行仿真。仿真完成后，发现需要开机密码，可用仿真功能中的内存绕密，绕过开机密码。进入系统后，发现桌面弹出了2个便签，其中1个便签提供了一个word文档密码。

仿真成功页面

除了便签外，桌面还有一个Wireshark抓包程序和一个flag.txt文件，根据flag文件和便签内容可推断出此题目是想找到名为flag的加密word文档并进行解密。

第六步

使用“介质分析系统”的关键字搜索功能，搜索flag关键字，尝试获取flag加密文档。发现没有搜寻到名为flag的word文档，只能寻找其他线索。根据便签的提示和加密磁盘的文件以及桌面的Wireshark抓包程序，小拓推测我们要找的flag文件大概率和加密磁盘里的流量包有关系。

搜索结果

第七步

使用Wireshark程序对加密分区的流量包进行分析，在udp过滤搜索发现了flag.docx信息，然后在udp追踪流中发现了一个包含flag.docx的rar，然后把该原始数据流量包导出，保存为一个rar文件。

第八步

打开导出的rar压缩包，进行解压，发现需要解压密码，并得到提示“压缩包密码和开机密码相同”。开机密码的获取需要得到用户的NTHash值然后再进行破解，获取和破解需要用到不同的工具，过程比较繁琐，但是利用“介质分析系统”，我们可以在短时间内获取到用户的开机密码。

解压压缩包

第九步

使用“介质分析系统”中的解密hash获取功能生成开机密码的NThash