💀heavy one ( forensics )

file iin tegj bgad google drive deer tawichyo HZ github deeree mod tawihgui bh

За мэдээж эхлээд imageinfo-гоор тохирох profile-аа олноо

pslist-ээр chrome.exe дээр хйисэн үйлдлүүдийг олсон. Даалгавар магадгүй Google Chrome-с мэдээлэл гаргаж авах байж магадгүй гэж бодсон.

filescan-аар ямар2 файлууд ашигласан бэ гэдгийг олоод дотроос нь heavy гэсэн даалгаврын нэрээр хайлт хийхэд heavy_ad_intervention_opt_out.db нэртэй database файл байсан. Гэвч энэхүү файлыг татаж авах үед алдаатай хуулагдааж байсан учраас нийтэд нь буюу \Google\Chrome\User Data\Default\History энэ замаар 0x000000003e676ae0 offset-тэй мэдээллийг dump хийж авахаар шийдсэн.

Энэ бол Google Chrome-н History бүтэн зам юм.

offset-н ашиглаад файлаа dump хийж болно.

python2 vol.py -f heavyone --profile=Win7SP1x64 dumpfiles -Q 0x000000003e676ae0 -D files

dump хийгээд хартал 2 файл үүссэн байх бөгөөд мэдээж .dat файл нилээн сэжигтэй байсан.

Файлыг нээгээд үзвэл дотор нь өгөгдлийн сантай холбоотой мэдээллүүд мөн, keepass-н мэдээллүүд байсан. Яг Харуул Занги тэмцээний финал дээр бол би харж байгаад pastebin URL-г олсон.

Нэг иймэрхүү pastebin URL байсан боловч цоожтой байсан.

clipboard-уудыг шүүж үзвэл нэг сэжигтэй нууц үг шиг Data олдсон бөгөөд энэхүү мэдээлэл нь pastebin-г онгойлгох нууц үг байжээ. Ийнхүү энэ бодлого дээр манай баг first blood авсан юм даа xd

python2 vol.py -f heavyone --profile=Win7SP1x64 clipboard

password is: 9d20KrHGS9

HZ2024{heavy_is_the_crown}