題目給了一個壓縮包,打開發現是一個vhd文件。vhd文件是微軟虛擬磁盤文件。它可以虛擬各種版本的windows,一個windows應該裝在一個硬盤分區上,而它是虛擬的windows,不可能單獨度劃出一個硬盤分區給它安裝,所以它啓動所需系統文件都被壓縮成知一個vhd格式的文件放在硬盤上。
用winhex打開,點擊專家—>映像文件爲磁盤,就會發現,存在NTFS格式分區。
NTFS格式分區是我們一般電腦中最常見的分區格式,僅適合微軟Windows操作系統使用。NTFS其實是FAT分區的升級版,爲Microsoft的Windows系列操作系統提供文件系統。
NTFS對FAT和HPFS(高性能文件系統)作了若干改進,例如,支持元數據,並且使用了高級數據結構,以便於改善性能、可靠性和磁盤空間利用率,並提供了若干附加擴展功能,如訪問控制列表(ACL)和文件系統日誌。
NTFS格式分區是比FAT32更新的分區格式,NTFS和FAT32的區別是NTFS格式分區相比FAT32分區具有更強大的功能,可以將每個磁盤分爲更大空間,擁有更高的安全屬性。
雙擊NTFS分區,對其進行檢查,發現存在easy_disk疑似加密容器,
右鍵導出easy_disk文件,用dekart private disk軟件打開,發現存在密碼,無法創立連接,嘗試找尋加密容器密碼
對NTFS系統進行分析,導出該ntfs分區的元數據文件$Usn journal文件,最大的文件Extend−>UsnJml:$J元文件(右鍵->查看器->Internet Explorer)
使用ntfs log tracker工具分析該元數據文件,好像也可以使用UsnJrnl2Csv工具分析$J。(此處我找不到ntfs log tracker工具,跳過了QAQ)
發現文件系統曾經存在文件名[email protected]的文件,使用該文件名9o7@Xs78I0作爲密碼成功解密加密容器。
解密加密容器後發現,文件系統格式存在問題,記住不用點擊格式化,數據會全部消失的,應該點擊取消,用winhex檢查加密容器磁盤信息。
檢查發現該分區內的引導扇區存在異常,即0扇區偏移16進制數的00-10被擦除寫0,且爲FAT分區。
依據FAT分區的磁盤結構,手動恢復被擦除的DBR引導記錄的字節,FAT分區的00-0A偏移位置是跳轉指令和固定的廠商標誌和os版本EB 58 90 4D 53 44 4F 53 35 2E 30爲MSDOS5.0的ASCII代碼。根據dekart private disk容器格式化的參數和30M默認的fat分區的參數結構默認值恢復對應的bios參數快結構。(注:快捷方法:使用private disk加密重啓創建一個大小30M的加密分區按默認配置格式化後將其DBR的引導記錄直接複製到被損壞擦除的題目容器),保存修改後重新連接容器,使用winhex進行磁盤快照更新後即可打開正常磁盤。
獲取根目錄下flag。
官方wp:https://github.com/chunqiugame/cqb_writeups
夏風師傅的wp:https://blog.xiafeng2333.top/ctf-23/
wtcl 太久沒做題了,一做就碰到這麼折騰的題,自閉了。。。
