QWB 2021 MISC CipherMan

The attacker maliciously accessed the user's PC and encrypted specific volumes. How to decrypt the volume?

考点：volatility

1.将题目文件解压

这里有个坑：新版的（2019）之后的kali自身不带volatility

python vol.py -f ~/CipherMan_/memory imageinfo

得到信息，是个win7镜像

volatility一顿四处找，（不得不吐槽一下，这里啥提示都没有，之前一直在瞎找）

这里有一部分信息并不是Desktop目录下的，注意分辨
发现一个异类：

0x000000007e02af80 8 0 -W---- \Device\HarddiskVolume2\Users\RockAndRoll\Desktop\BitLocker 복구 키 168F1291-82C1-4BF2-B634-9CCCEC63E9ED.txt

根据介绍中的加密的提示可以定位到这个文件

python vol.py  -f ~/CipherMan_/memory --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007e02af80 -D /root/CipherMan_/

-Q:指定镜像文件内的虚拟地址

-D:指定dump出来的文件保存路径

用notepad++打开查看

猜测：221628-533357-667392-449185-516428-718443-190674-375100是BitLocal密码

先吧secret文件后缀改为vmdk文件（不要问怎么做到的，问就是试出来的），将secret.vmdk挂载，挂载后发现打不开，然后用M3 Bitlocker recovery去深度扫描硬盘，找到这个新挂载的分区

找到后输入之前在memory找到的密码，成功打开，然后找到flag

flag就是readme文件里面的那一大堆话，那就是flag