最近为了准备 ISCTF 的套娃题,想起来可以外层套一个取证的皮,但是本来的环境因为电脑重装就无了,所以重新用虚拟机搭了一个 Win7 的环境,然后遇到了几个之前遇到过的问题,那个时候没有记录,导致配环境浪费了很多时间,这边就小小的记录一下吧。
# 写在开头:
win7 取证的话,硬盘容量建议开大一点,给 25g,他自身好像是占了 13g,然后一些补丁后续要加,我尝试了 20G,容量不够,25G 就足够的空间了
# Step1: 环境镜像
我使用的是 VMware 搭的虚拟机,去官网下的镜像,这边就直接放一篇博客了,参考博客,镜像版本选取什么应该大抵是没什么问题的,实在要参考的话,我这边选择的是这款,怎么有两款,忘了是哪款了,自己试试吧,应该是 64 位的那款。
# Step2:SP1 问题
出题最主要的就是问个 SP1 问题了,为什么捏,因为我想安装 vmtools,否则我的附件以及 dump 出来的内存镜像无法从虚拟机中导出来,看了网上几篇《很老》的教程,都是千篇一律的从微软官网下载补丁,然后移进去,然后安装补丁就好了,很简单,但是他们好像忽略了一个问题,没有 vmtools,我根本移不进去啊(不知道是不是我虚拟机的问题)。凭借一个 misc 手的直觉,我最后发现了一个很好地方法,就是使用 UltraISO。
我们可以把自己想要传入到虚拟机中的东西,用 Ultra 打包成 iso 镜像,然后直接丢进去。
ps: 试过插 U 盘,但是报错 U 盘无法解析
# Step3: 具体解决方法
# 1、创建 ISO 镜像
我们将自己想要移到虚拟机中的文件移动到右上方的地方,就直接点住图标拖过去就行,然后点左上角直接保存即可
# 2、导入镜像
然后我们打开 VMware win7 的虚拟机,导入 ISO 镜像即可
然后就打开虚拟机就可以啦
# 3、打开文件
打开驱动
将里面的内容移到桌面上就好了
# Step4: 打补丁
这边有两个补丁要打,一个是更新程序?还有一个就是 sp1
可以自己去官网下,链接自己找,用 IDM 下很快,或者用我的百度网盘(没会员就不怪我了奥,大小 1.4G,体验 30s 应该也可以下一大部分),顺便把 dump.exe 也给啦,一个 32 位的,一个 64 位的,自己对应版本使用即可
链接:https://pan.baidu.com/s/1r5AcV9z7UxV3-SdjdFNaYA?pwd=yv4m
提取码:yv4m
然后我记得好像是先装 exe 那个?无所谓,自己都试一试,两个装完之后就可以快乐地安装 vmtools 了。
# Step5: 开始出题
我这边是设置了两个考点,一个是开机密码是 flag123456,他是以 hash 存储的,是可以解出来的。还有一个就是桌面上的文件
把你想要的东西放在桌面上,进阶一点,你可以在你的命令行里打一些命令,或者在你的剪切板,ie 浏览器里访问一些网站,这些就靠你自己去尝试啦。最后运行 dumpit.exe 就好了,直接拖到终端运行即可
然后按下 y,一个题目就出好咯,可以去欺负小新生了,下班!
