聊天wp

工具lovelymem

题目名称为聊天，推测大概率和聊天的软件有关系

查看进程，发现果然有聊天软件的进程

根据作者的提示

扫描文件之后，全局搜索wechat,看看有没有符合条件的文件路径，还真有以微信ID为路径的，只筛选wechat内容过多，重新筛选一下

筛选wxid_0fznezm6rnkd22\FileStorage\Temp\

可以看到只有四个文件了

我们给他们一个个dump出来看看

dump出来的文件后缀是.dat,我们看看原来是什么文件

看文件头是png.改后缀即可，得到（总共有4张图片，每一张都改一下就行

这里得出密码，猜测可能是压缩包的解压密码，这里微信的就看完了

再看看有没有什么可疑进程，看到

可以看看近期访问了什么文件

输入

iehistory

发现什么都没有，没招

看看有没有QQ吧（题目都叫聊天了，看看常见的聊天软件）

进程里面没有，上文件里搜，还真有qq

找到含有QQ号的文件夹，可能含有文件

原因：

官方默认命名规则

QQ 客户端（含旧版与新版 QQNT）在登录后，会为每个账号创建独立隔离的数据目录，核心设计目的是多账号隔离、唯一标识、避免重名冲突。

• 默认路径（Windows）：plaintext

C:\Users\[系统用户名]\Documents\Tencent Files\[QQ号]\

• 核心目录特征：

• 主目录名：纯数字 QQ 号（如12345678），不含昵称。
• 内容：聊天记录数据库（MsgEx.db/nt_data）、接收文件（FileRecv）、缓存图片 / 表情等。

一顿翻找，应该就是这个了（也符合上面说的路径，其实也不用找很久，也可以直接筛选\Documents\Tencent Files

过滤QQ号，看到一个可疑文件

想办法把他导出来，试试dump一下，失败了

只能想想其他办法，这里采用foremost进行提取

输入

foremost -T 文件名

得到

已知那个文件是rar文件，上rar文件夹去看看，两个字节数相同应该是同一个文件

用那个密码解压即可，解压后得到flag.txt，内容如下

flag由一段字符和qq号，qq名称，以及微信图片的xor值的16进制拼接而成

我们已知qq号，以及作者的提示00

就只差QQ名称，尝试上qq搜一下，发现搜不到，试了很多方法真的没招了，然后偶然之间在CSDN上看到了WP，

给我气笑了，如果有其他方法找到QQ名称的话请留言告诉我，谢谢喵(本来还想复现一下的，结果一群人满了不让进，二群没有这个人）

bugku{s1mple_D1gital_f0rens1cs_54297198_Xhelwer_00}