栏目介绍
这题难点,在如何挂载。也是一个脑洞蛮大的题目。
我们获得的文件只有一个
遇到这种文件,一般都是直接拿去内存取证的,然而我取了半天似乎没有什么有用的信息,然后这种文件是虚拟机里面的文件,请看介绍。
VMDK:(VMWare Virtual Machine Disk Format)是虚拟机VMware创建的虚拟硬盘格式,文件存在于VMware文件系统中,被称为VMFS(虚拟机文件系统)
这边我也学会一个技巧,遇到vmdk可以试试使用7z这个压缩软件打开
分离出这个0.fat,fat这个文件,其实就是一个硬盘可以挂载
FAT格式: 即FAT16,这是MS-DOS和最早期的Win 95操作系统中最常见的磁盘分区格式。它采用16位的文件分配表,能支持最大为2GB的分区,几乎所有的操作系统都支持这一种格式,从DOS、Win
95、Win 97到现在的Win 98、Windows NT、Win
2000,但是在FAT16分区格式中,它有一个最大的缺点:磁盘利用效率低。因为在DOS和Windows系统中,磁盘文件的分配是以簇为单位的,一个簇只分配给一个文件使用,不管这个文件占用整个簇容量的多少。这样,即使一个文件很小的话,它也要占用了一个簇,剩余的空间便全部闲置在那里,形成了磁盘空间的浪费。由于分区表容量的限制,FAT16支持的分区越大,磁盘上每个簇的容量也越大,造成的浪费也越大。所以为了解决这个问题,微软公司在Win
97中推出了一种全新的磁盘分区格式FAT32。
然后我们使用VeraCrypt,进行挂载
这个挂载密码,RCTF上面是有写上面的,不过应该也不难猜,大家联想一下这个比赛
password:rctf
到这一步就说明挂载成功,我们打开这个盘看一下
发现他有一个图片,和password.txt我当时以为是jpg加密,当时我使用了
silenteye、stegdetect0.4、jphide、Free_File_Camouflage,都不是,后面发现,这个password中的密码,是这个0.fat的隐藏密码
这里就有一个新的知识点,不同的密码尽然能开启不同的盘瞬间智慧得到了升华。
安装成功他是打不开的,我们只能通过winhex来查看磁盘,
不过winhex一定一定要管理员打开-》打开磁盘-》选择磁盘-》找flag
很明显的看到了flag后半段,
_and_corrupted_1nner_v0lume}
问题就来了,前半段了???
然后在重新找一下原来,就在0.fat里面
rctf{unseCure_quick_form4t_vo1ume
结合一下
rctf{unseCure_quick_form4t_vo1ume_and_corrupted_1nner_v0lume}
又掌握了新知识!