给了一个.jpg的图片,用winhex打开后发现文件的结尾并不是FF D9
紧接着后面是50 4B 03 04,是.zip文件的文件头,有伪加密,修改后成功解压,得到一个flag.vmdk虚拟机磁盘文件。
然后……我以为是内存取证题目呢(菜
然后用volatility分析了半天连个操作系统信息都分析不出来(泪
后来百度了题解(颓
用7z解压缩后得到了很多个文件夹,
其中key_part_one和key_part_two中含有Ook!与Brainfuck加密得到的文本 ,解密后将得到的字符串前拼接起来就得到了flag:
但是我并不知道为什么.vmdk文件为什么可以用7z解压缩,难道.vmdk文件就是用7z的压缩算法生成的?我没有找到讲解的资料……先挖个坑吧。
