这一题的题目由“丁同学”提供,特此表示感谢,题目如下:
2.(取证)从一个磁盘镜像(DD格式)中恢复一个有关于“A hall in DUKE SOLINUS'S palace”的html文件。递交KEY为其MD5值。(500分)
这道题的文件和取证样题中的文件竟然又是一模一样,不过好在题目要取的东西不一样了,也不完全算原题了。
首先,我们在文件中查找DUKE,会发现一段看起来像HTML的内容,然后向前找到其开头处:
0d6cff0: dd3d 2f42 f816 80dd b3a0 78b6 9258 1d1b .=/B......x..X.. 0d6d000: 3c21 444f 4354 5950 4520 4854 4d4c 2050 <!DOCTYPE HTML P 0d6d010: 5542 4c49 4320 222d 2f2f 5733 432f 2f44 UBLIC "-//W3C//D 0d6d020: 5444 2048 544d 4c20 342e 3020 5472 616e TD HTML 4.0 Tran 0d6d030: 7369 7469 6f6e 616c 2f2f 454e 220a 2022 sitional//EN". " 0d6d040: 6874 7470 3a2f 2f77 7777 2e77 332e 6f72 http://www.w3.or 0d6d050: 672f 5452 2f52 4543 2d68 746d 6c34 302f g/TR/REC-html40/ 0d6d060: 6c6f 6f73 652e 6474 6422 3e0a 203c 6874 loose.dtd">. <ht
很显然,这个文件是从0x0d6d000处开始了,然后再从此处开始,查找</html>,找到其结尾处:
0dc4820: 3c2f 413e 3c62 723e 0a3c 703e 3c69 3e45 </A><br>.<p><i>E 0dc4830: 7865 756e 743c 2f69 3e3c 2f70 3e0a 3c2f xeunt</i></p>.</ 0dc4840: 626f 6479 3e0a 3c2f 6874 6d6c 3e0a 0a8f body>.</html>... 0dc4850: a9f4 343b 01b4 32e1 6544 b7dd 0e41 cb8b ..4;..2.eD...A..
于是乎,我们可以很轻松的提取出从开头到结尾的内容。
然后打开我们提取出来的文件,我们会发现其中有一段内容是乱码的,由于没法测试,我也不知道这段乱码是否应该除去。
联系HTML的内容,我们可以发现这段乱码是从0x0d7ae00到0x0da93ff,具体如下:
0d7ae00: ffd8 ffe0 0010 4a46 4946 0001 0101 0064 ......JFIF.....d …… 0da9250: 3eb9 fce7 f39f ce7f 39f5 cfaf ffd9 540e >.......9.....T. …… 0da9400: 323e 5b57 6974 6869 6e5d 2020 5269 6768 2>[Within] Righ
其中,0x0d7ae00到0x0da925d为一张JPG图片,其余内容暂不太清楚是什么。
鉴于没有办法测试,这题就先这样了。
PS:据题目提供者称,提取出来的文件最后</html>后面要有换行,也就是那个0x0a别落了。
