[陇剑杯 2021]内存分析（问2）

---

查找关键词“CTF”：

vol.py -f Target.vmem --profile Win7SP1x64 filescan | grep -E "CTF"

发现是华为的手机

---

安装foremost：

apt install foremost

---

使用foremost分离文件：

foremost -T Target.vmem

---

查找关键词“HUAWEI”：

vol.py -f Target.vmem --profile Win7SP1x64 filescan | grep -E "HUAWEI"

发现了“picture”关键词

---

将该文件下载下来：

vol.py -f Target.vmem --profile Win7SP1x64 dumpfiles -Q 0x000000007fe72430 -D /home/kali/Desktop/test

---

经查询，由于华为手机助手加密的文件解密时需要依赖整个文件夹中的文件，只有一个images0.tar.enc是不行的，需要另一个exe文件，下载下来：

vol.py -f Target.vmem --profile Win7SP1x64 dumpfiles -Q 0x000000007d8c7d10 -D /home/kali/Desktop/test

---

打开以下文件可以看到目标文件：

---

使用unzip命令解压该dat文件：

unzip file.None.0xfffffa80037e0af0.dat

多了个HUAWEI P40_2021-aa-bb xx.yy.zz文件夹：

---

接下来需要克隆项目“https://github.com/RealityNet/kobackupdec”

这里可以克隆到kali里，但我直接在本机上下载来用了：

python kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX "E:\downloads\内存分析\HUAWEI P40_2021-aa-bb xx.yy.zz" E:\downloads\内存分析\result

“W31C0M3_T0_THiS_34SY_F0R3NSiCX”是上一题的flag

"E:\downloads\内存分析\HUAWEI P40_2021-aa-bb xx.yy.zz"是解压出来的文件夹

“E:\downloads\内存分析\result”是要解压到的文件夹（注意不能已经有result文件夹，否则会失败）

---

解压压缩包得到flag：

flag{TH4NK Y0U FOR DECRYPTING MY DATA}

改成NSSCTF格式：

NSSCTF{TH4NK Y0U FOR DECRYPTING MY DATA}