[2021-红明谷]InputMonitor

Akira在某次取证的过程中,在桌面找到了一个奇怪的文件,但是除此之外好像没有找到什么有价值的情报,很多的数据都被抹干净了,而且这个用户似乎根本就没装什么第三方的软件。Akira还粗心的只拷贝了C盘下的User目录,这下还有机会解开可疑文件吗?

在桌面我找到了一个加密的flag.7z、log_data.txt还有一个7z的exe程序。

log_data.txt的内容如下:

没事,我都删掉了,之前的聊天记录都被我清干净了。除非他们在监控我输入

提示监控输入。中文输入法作为Windows中文操作系统必备的一款应用程序,不仅支持中文文字编码和输入的功能,还具有自定义、自学习用户词库功能,这一功能将系统用户常用或者符合用户用语习惯的字词句以一种特定的结构形式存储成独立的词库数据集文件,以方便后期提高输入效率。这类用户词库文件留存了大量的与系统用户直接相关的输入痕迹信息,如目标姓名、地址、谈话内容等关键词,都能在输入法用户词库中有所体现

Win10系统自带中文输入法的用户词库文件主要存储在:

C:\Users\Administrator\AppData\Roaming\Microsoft\InputMethod\Chs

该路径下的ChsPinyinlHChsPinyinUDL,其属性信息会随着系统用户输入行为的发生而不断变化。

词库分析工具可以参考:戳我

分析该题的ChsPinyinUDL.dat可以得到hint,密码为6位。

尝试密码【不成功便成仁】错误,查阅资料得知,ChsPinyinIH.datChsPinyinUDL.dat,最后以UTF-16LE编码方式存入文档,所以该dat的格式为UTF-16LE。

010 Editor打开ChsPinyinIH.dat,修改前两个字节为:FF FE

找到压缩包的密码为【有志者事竟成】。

拿到hidden.pdf就好办了,直接pdftotext得到flag。

⚪参考:

https://mp.weixin.qq.com/s/0p3vbLub5vPKO5Pik9zmUQ

https://9bie.org/index.php/archives/786/

https://its401.com/article/mochu7777777/115410705#InputMonitor_105