2021红名谷杯数据安全大赛CTF-InputMonitor Writeup【输入法取证】 – 作者:Spence

InputMonitor

1. 查看文件，发现桌面有flag.7z文件，加密了。还有一个提示文件。
   

2. 用Everything查看文件修改记录，分别按照修改日期、文件大小排序。得知flag.7z在3/13 16:50左右修改，大小54kb。未发现相近时间有其他文件。

3. 想到提示的信息是监控输入，考虑查看日志文件或者输入法记录。
   看到3/13当天，微软输入法有一些文件变化，定位文件夹CHS。考虑文件较大的有记录。
   

4. Google搜索文件名。发现有脚本可用。https://github.com/studyzy/imewlconverter/files/4365598/pinyin.zip
   
   执行脚本,得到部分记录，但没有密码，考虑爆破。跑了半小时未果考虑换个思路.
   python pinyin.py ./ChsPinyinUDL.dat 1.txt
   

5. 继续谷歌搜索，
   

6. 阅读文章得知，得到文件编码格式为UTF16-LE。
   
   

7. 使用010editor设置编码类型后，分析得密码“有志者事竟成”（还好没坚持爆破~）
   

8. 解压文件，得到PDF，flag隐藏在图片下面（需用PDF编辑器打开）
   

参考链接：
输入法取证
微软拼音自学习词库的导入导出算法

来源：freebuf.com 2021-04-03 12:32:16 by: Spence