【NewStar2024校内赛道】小明同学们

毕竟已经做完了，所以现在再回过头想一想小明同学的三道题还是很好玩的，suki。

工具人小明

入门题，最难的点在于volatility的安装（）

安装完后查看一下imageinfo，找到几个profile，再用mimikatz插件试一下就能找到密码。

擅长音游的小明同学

题面如下：

小明是资深的音游玩家，有一天他游玩某知名街机音游后顺利使rating上w5，当他将成绩图上传到电脑上时，他的桌面【直接显现】了神秘的东西，然而没等他反应过来，他的电脑就消失不见，只剩下一个磁盘镜像（？），这时小明脑海中有一个声音告诉他，如果他找不出来神秘的东西就会抽走他的音游底力，小明顿时慌了，想希望你帮帮他【利用镜像启动系统】，找到令人头疼的秘密。

下载附件后发现是一个E01文件，遂用FTK挂载一下。经测试，4.2版本的FTK能挂载这个镜像且不报任何错误，再高版本就会出现各种莫名其妙的bug :)

由于题面中说，小明的桌面直接显现了神秘的东西，于是我们先去桌面看看：

在桌面看到了一大堆的txt副本，经检查发现是真副本，而要开始了哟.txt里的内容是：

今天舞萌彩框了好开心啊o(￣▽￣)ブ
我要把这一刻用照片保存下来
不过在拍摄rating变化的瞬间总感觉有什么东西藏进照片里了
打开也没发现什么异常，但是体积好像变大了一点
是错觉吗？

由这个提示可以猜出应该是在照片里附加了一个什么文件，接着去找照片，照片就在Pictures里，遂导出。

得

用binwalk提取文件，可以得到一个txt。

里面内容是：

听好了听好了听好了听好了听好了听好了听好了：

1919年8月10日，世界就此陷落，
陷落的世界都将迎来一场漩涡，
为这个世界带来有关弗拉格尚未知晓的真相。

但发掘真相的道路被加诸混沌的历练
世界的宽高未被正确丈量
当真相被混沌打乱时
真相将不复存在

也许，在世界的重置和轮回中能找到发现真相的方法……

至此，尘埃落定
至此，一锤定音

#音游# #NewStarcaea #Misc

~~唉，谜语人。。。~~

顺便用010打开图片，可以看见末尾有一大堆的DIMENSION_1200x800，再根据secret.txt里面的“世界的宽高未被正确丈量”，猜测是要改什么东西的分辨率，再联想到桌面一大堆的副本……

：他不会在桌面用txt摆了个flag吧？

在一番搜索之下，选择用vmw进行动态仿真。先用ftk把它挂载到本地(注意要选writable)—>

再去vmw创建新的虚拟机

一路下一步后在操作系统时选择windows 7 x64，（在FTK挂载时能查看操作系统）在Windows配置时选UEFI，控制器选LSI Logic，虚拟磁盘类型选SATA，使用物理磁盘，设备选择前面 FTK Imager 挂载起来的对应驱动器号。

打开虚拟机，发现有两个账号可以选择。由于我们之前找到的线索都是在Administrator里找到的，于是我们点进Administrator，并选择最近的分辨率，发现桌面啥都没有。

重新看secret.txt，它说

当真相被混沌打乱时
真相将不复存在

也许，在世界的重置和轮回中能找到发现真相的方法……

感觉是最开始的小分辨率把它打乱了，所以我们重新启动虚拟机，先进另一个用户把分辨率改成1280x800，然后注销账户，再进入Administrator即可看见flag。

擅长加密的小明同学

题面如下：

小明在学习中对各类文件加密的方式起了浓厚的兴趣，并把自己珍贵资料和 Flag 进行了套娃式加密。然而，他却在某天的凌晨三点选择了重装系统，本来他就记不住自己的密码，还丢失了备份密钥……
据受害者回忆，【他曾经使用画图软件把密码写了下来】，尽管备份已经丢失，如果能成功看到程序运行的样子，说不定就找回密码了，但是硬盘的加密怎么办呢，哎呀~要是有软件能直接破解就好了www

下载附件得到一个vhd硬盘映像文件和一个压缩包，尝试挂载vhd发现需要密码，解压压缩包发现无密码无破损，得到内存镜像。

先用vol分析内存查看操作系统，