先用xway打开虚拟盘 分区2被bitlocker加密,在隐藏分区中发现解密密钥 用OSFMount工具把vmdk挂本地 选择输入恢复密钥解密 Chat1.exe运行会一闪而过,用cmd运行,会输出correct fail,xlsx不知到干什么用的 查下壳,发现有壳,但不知道什么壳(官方说是vmp壳),也不会脱 抓包也抓不到数据包(官方解法是流量分析,不知道为什么我没抓到包) X64dbg调试一下发现有反调试,运行会检测到调试器并终止执行 后来才知道了可以使用SharpOD插件 按F9跑飞,发现约有四五次中断,每到一断处搜一下字符串,在第三断处搜到了flag flag{3c535189-2b5b-477b-b7ba-a8b7e3081415}
文件没有后缀名,16进制看一下,是vhdx虚拟盘 改后缀为.vhdx,直接挂本地 发现bitlocker盘加密 没给密码,先用xways将bitlocker镜像导出,使用Passware工具尝试爆破 爆破得到密码1234678,passware yyds 打开盘之后只发现一个txt 再用Xway扫一下,在回收站目录下发现两个pdf wps打开大的那个pdf看到一个假flag 应该是有pdf隐写 使用pdf工具直接提取图片 得到两个图片,拼起来就是flag 还有其他方法,比如放到linux下,可以直接看到,后面的就是flag 好神奇,不知道是怎么做到的。
参考文章: https://blog.csdn.net/SopRomeo/article/details/112802285 https://mp.weixin.qq.com/s/kbv8jjFFZNQF3RExLe2bPw