信息安全管理与评估内存取证（金砖镜像）

今天给大家讲一下内存取证，是金砖比赛里的一个镜像，这个题和某年信息安全管理与评估内存取证的题很相似，所以直接正片开始吧（是在windows里用vo2做的）

你作为 A 公司的应急响应人员，请分析提供的内存文件按照下面的要求找到 相关关键信息，完成应急响应事件。

1.从内存中获取到用户admin的密码并且破解密码，以Flag{admin,password} 形式提交(密码为 6 位)；

判断当前的镜像信息，分析出是哪个操作系统 使用参数 imageinfo 查看系统信息

volatility -f 1.vmem imageinfo

2. 查看用户名密码信息(哈希值需要john爆破)，可以使用hashdump命令。例如查看当前系统ip和主机名，可以提交Flag{ip:主机名}。例如volatility -f 1.vmem –profile=Win7SP1x64 hashdump

volatility -f 1.vmem –profile=Win7SP1x64 hashdump

可以通过john工具来进行好像跑不出来结果。应该是设定了强密码。于是只能使用了lasdump命令来查看

提取LSA密码lsadump

LSA是Windows系统本地安全认证的模块。它会存储用户登录其他系统和服务用户名和密码，如VPN网络连接、ADSL网络连接、FTP服务、Web服务。通过搜集这些信息，便于对服务器进行渗透测试。

Kali Linux提供lasdump工具。利用Kali Linux系统U盘启动Windows电脑，然后将Windows系统分区挂载Kali下，就可以使用该工具LSA密码信息。提取的信息中，均是明文信息，用户可以直接利用。

volatility -f 1.vmem –profile=Win7SP1x64 lsadump

406990ff88f13dac3c9debbc0769588c

去MD5解码

dfsddew

flag{admin.dfsddew}

2.获取当前系统 ip 地址及主机名，以 Flag{ip:主机名}形式提交；

Netscan 可以查ip

volatility -f 1.vmem –profile=Win7SP1x64 netscan

主机名需要通过查询注册表，先用hivelist

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 hivelist

您提供的两个值似乎是内存地址或注册表项的路径。让我们分别解析它们：

1. 0xfffff8a000024010 和 0x00000000070cd010：
   • 这两个值看起来像是64位系统中的内存地址。在Windows操作系统中，特别是在进行内核调试或系统崩溃分析时，这样的地址经常出现。
   • 通常，这些地址可能指向内核空间中的某个数据结构、驱动程序代码、系统服务等。
   • 具体这些地址代表什么，需要依赖于当前的上下文、系统的具体状态以及正在运行的软件。

1. \REGISTRY\MACHINE\SYSTEM：
   • 这是一个Windows注册表项的路径。
   • \REGISTRY\MACHINE 是注册表的一个根键，通常缩写为 HKEY_LOCAL_MACHINE 或 HKLM。
   • \SYSTEM 是 HKEY_LOCAL_MACHINE 下的一个子键，包含了关于系统配置的大量信息，如硬件配置、驱动程序、服务设置等。
   • 这个路径在注册表编辑器中可以直接访问，用于查看或修改系统级的配置。

如果您是在进行调试、故障排查或系统配置工作，这些信息可能对您有所帮助。但是，请确保您有足够的权限和知识来安全地处理这些操作，因为不当的修改可能会导致系统不稳定或无法启动。如果您需要更具体的帮助，建议提供更多的上下文信息或详细描述您正在尝试解决的问题。

然后我们需要一步一步去找键名

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

printkey是一款屏幕抓图软件

• 这两个值看起来像是64位系统中的内存地址。在Windows操作系统中，特别是在进行内核调试或系统崩溃分析时，这样的地址经常出现。

-o参数 跟内存地址

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"

• -K "ControlSet001"：这看起来像是您尝试传递给printkey插件的参数，但是printkey插件并不接受这种形式的参数。printkey通常用于提取特定注册表键的值，您需要指定注册表键的路径，而不是像这里这样尝试传递一个控制集的名称。

volatility -f 1.vmem –profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K “ControlSet001\Control“

看到了电脑名字

继续

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"

继续

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

主机名：WIN-9FBAEH4UV8C

（2）

得到主机名WIN-9FBAEH4UV8C 也可以直接通过 hivedump查询相应的键名 但比较慢

volatility -f 1.vmem –profile=Win7SP1x64 hivedump -o 0xfffff8a000024010 > system.txt

查看注册表键名hivedmp。例如，要查看注册表键值，可以输入`hivedump -o 0xfffff8a001032410`。

其实看到注册表的时候可以直接hivedump -o xxxxxxxxx | grep ComputerName就好了直接搜索字符串

3.获取当前系统浏览器搜索过的关键词，作为 Flag 提交；

这里使用iehistory

EHistory是一款方便实用的历史记录管理器，主要用于查看和管理IE浏览器的上网历史记录、缓存记录、cookie记录、地址栏历史记录、运行历史记录、最近访问过的文件以及QQ历史记录等。

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 iehistory

flag{admin@file:///C:/Users/admin/Desktop/flag.txt}

4.当前系统中存在挖矿进程，请获取指向的矿池地址，以 Flag{ip:端口}形式 提交；

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 netscan

flag{54.36.109.161:2222}

5.恶意进程在系统中注册了服务，请将服务名以 Flag{服务名}形式提交

上一题的pid也就是进程是2588

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 pslist -p 2588

此命令的目的是列出进程，并特别关注进程ID（PID）为2588的进程详细信息。

查到父进程是3036 然后在通过通过svcscan可以查询服务名称，找到对应服务名

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 svcscan

svcscan是Volatility内存取证框架中的一个插件，该插件的主要功能是扫描Windows内存镜像中存在的服务信息。Volatility是一款开源的内存取证框架，它允许用户通过分析导出的内存镜像文件来获取系统的详细运行状态和内核数据结构。

• 恶意软件分析：在内存取证过程中，分析系统服务可以帮助识别恶意软件是否以服务形式在系统后台运行。
• 事故响应：在发生安全事件时，快速分析系统服务状态有助于确定系统是否已受到攻击或配置错误。

flag{VMnetDHCP}