摘要:进一步分析和两文件发现文件记录着系统用户的中文字词输入信息,而文件记录着系统用户的中文短句输入信息。由此可知,中文输入法用户词库信息采用独有格式进行存储,但没有采用复杂的加密算法对其进行保护处理具体程序流程,如图所示。
突然想起这个题…
先用autopsy挂载给的文件
桌面有压缩包和hint
没事,我都删掉了,之前的聊天记录都被我清干净了。除非他们在监控我输入
提示要得到输入记录
用到输入法取证https://mp.weixin.qq.com/s/0p3vbLub5vPKO5Pik9zmUQ
通过对Win10系统自带中文输入法程序运行进程的分析,发现与中文输入法相关的用户词库文件主要存储在
C:/Users/Administrator/AppData/Roaming/Microsoft/InputMethod/Chs
路径下,对所有文件的属性信息分析,发现其中文件名分别为ChsPinyinlH和ChsPinyinUDL的两个DAT文件,其属性信息会随着系统用户输入行为的发生而不断变化。但由于其是DAT类型文件,无法直接用常规方法获取记录信息。
因此,利用Winhex对这两个文件进行分析,如图1所示,发现存储的信息具有一定规律性,数据块之间存在明显分隔,并且在Unicode方式显示下,可以很明显发现文件名分别为ChsPinyinlH和ChsPinyinUDL的DAT文件中零散存储着系统用户之前输入的字词句信息,并且均以Unicode明码的方式保存在数据区中。
进一步分析ChsPinyinlH.dat和ChsPinyinUDL.dat两文件,发现ChsPinyinlH.dat文件记录着系统用户的中文字词输入信息,而ChsPinyinUDL.dat文件记录着系统用户的中文短句输入信息。
由此可知,Win10中文输入法用户词库信息采用独有格式进行存储,但没有采用复杂的加密算法对其进行保护处理
具体程序流程,如图所示。首先,分别检索ChsPinyinlH和ChsPinyinUDL两个DAT格式用户词库文件中偏移地址在0x1400和0x2400之后的数据区域;然后,对该区域数据信息按特定长度进行分割,并对分割出的每条信息进行格式解析,从中提取用户输入词条字数、输入频次、词条内容等关键信息;最后,将提取出的信息进行编码转换并输出。
注意该dat文件是UTF_16LE的格式,可以修改文件头两个字节(BOM)为FF FE然后在记事本直接打开
BOM是用来判断文本文件是哪一种Unicode编码的标记,其本身是一个Unicode字符("/uFEFF"),位于文本文件头部。
用六位汉字密码解开zip,flag就藏在pdf中
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/121207.html
摘要:年中职组网络空间安全赛项一湖南省竞赛任务书二任务书解析三任务书答案四不懂的可以私信博主一湖南省竞赛任务书一竞赛时间共计小时二竞赛阶段竞赛阶段任务阶段竞赛任务竞赛时间分值第阶段单兵模式系统渗透测试任务一签到题任务二信息收集 ...
摘要:通过分析靶机页面信息,寻找漏洞页面,将服务存在注入漏洞的页面名称作为提交分注入页面为通过本地中的渗透测试平台对靶机进行注入攻击,获取靶机的数据库信息,将用来存放服务的数据库名称作为提交分使用工具你的页面的列出他的数据库 1. 通过分析靶机LINUX页面信息,寻找漏洞页面,将W...
摘要:任务五操作系统渗透测试通过渗透机对靶机服务器进行系统服务及版本扫描渗透测试,并将该操作显示结果中端口对应的服务版本信息字符串作为值提交分通过渗透机对靶机服务器进行渗透测试,将该场景目录中唯一一个后缀为文件的文件名称作为值提交分通过渗 任务五:Linux操作系统渗透测试 通过渗透机Kali对靶...
摘要:安恒泰山杯山东省网络安全大赛测试赛部分题目认真你就输了移位凯撒线上测试赛,两个多小时道题做出来道,感觉自己还是太菜,简单记录一下。能下来的东西都在最后百度云链接里。除了都能下来,百度云链接链接提取码来自百度网盘超级会员的分享 ...
摘要:针对计算机类的同学,数学建模,电子科技大赛,大创,,蓝桥杯这些都是值得参加的高含金量的比赛,无论是学校加分还是应届招聘,都被广泛认可。但近几届的蓝桥杯题目难度已经明显增大,准备参加的同学也决不可掉以轻心。 ...
阅读 2105·2021-10-14 09:43
阅读 1160·2021-09-27 13:34
阅读 3332·2021-09-22 15:28
阅读 1060·2021-09-03 10:35
阅读 684·2021-09-02 15:21
阅读 3249·2019-08-30 15:53
阅读 3303·2019-08-29 17:25
阅读 457·2019-08-29 13:22