CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析

最新推荐文章于 2024-11-08 21:38:25 发布
最新推荐文章于 2024-11-08 21:38:25 发布
阅读量1.5k 收藏 9
点赞数 19
文章标签: 笔记 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86436851/article/details/141909095
版权

首先,分析VMEM文件整体信息

volatility -f Target.vmem imageinfo

然后, 通过 lsadump 查看内存中密码凭据的明文缓存数据,得到flag

volatility -f Target.vmem --profile=Win7SP1x64 lsadump

flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}

第二问

首先通过 filescan 查看文件列表,可以将输出内容保存至 file.txt 便于后续信息检索

volatility -f Target.vmem --profile=Win7SP1x64 filescan

搜索HUAWEI,找到相关信息如下

0x000000007d8c7d10      4      0 R--r-d \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz.exe

将对应偏移量处的文件通过 dumpfiles 命令 dump 下来

volatility -f Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007d8c7d10 -D C:\Users\Hacker\Desktop

得到两个文件

将 .dat 文件后缀名改为 .exe,发现是一个WinRAR自解压文件,进行自解压

然后,在解压后的 \HUAWEI P40_2021-aa-bb xx.yy.zz\picture\storage\MediaTar\images 目录下得到一个加密文件 images0.tar.enc

使用开源工具 kobackupdec 进行手机备份文件解密

python kobackupdec.py -vvv "W31C0M3_T0_THiS_34SY_F0R3NSiCX" "D:\BaiduSyncdisk\CTF\CTFwork\NSSCTF\misc\陇剑杯 2021\内存分析\HUAWEI P40_2021-aa-bb xx.yy.zz" "D:\BaiduSyncdisk\CTF\CTFwork\NSSCTF\misc\陇剑杯 2021\内存分析\output"

在 \output\storage\MediaTar\images 目录下得到一个 images0.tar 压缩文件,解压得到flag

flag{TH4NK Y0U FOR DECRYPTING MY DATA}

[蓝帽杯 2022 初赛]计算机取证
第一问

首先,查看基本信息

volatility -f 1.dmp imageinfo

然后,使用 hashdump 查看各个用户的密码哈希值

volatility -f 1.dmp --profile=Win7SP1x64 hashdump

在线查询,得到密码

第二问

查看进程树

volatility -f 1.dmp --profile=Win7SP1x64 pstree

发现 MagnetRAMCaptu 进程,MAGNET RAM Capture 是 MAGNET 取证公司出品的内存取证工具

第三问

(待更新)

第四问

(待更新)

[羊城杯 2021]Baby_Forenisc

重建 Internet Explorer 缓存/历史记录

volatility -f BIODOG-7711E93C-20210908-053022.raw --profile=WinXPSP2x86 iehistory

扫描文件,并按照文件名 ssh.txt 过滤

vol.py -f BIODOG-7711E93C-20210908-053022.raw --profile=WinXPSP2x86 filescan | grep ssh.txt

将上述两个文件dump下来

vol.py -f BIODOG-7711E93C-20210908-053022.raw --profile=WinXPSP2x86 dumpfiles -Q 0x00000000020bf6a0 -D /home/kali/CTFwork/NSSCTF/misc/YangCheng_2021/Baby_Forenisc
vol.py -f BIODOG-7711E93C-20210908-053022.raw --profile=WinXPSP2x86 dumpfiles -Q 0x00000000021c01b0 -D /home/kali/CTFwork/NSSCTF/misc/YangCheng_2021/Baby_Forenisc

查看文件内容

base64解密后可以找到一个邮箱:song552085107@qq.com

在 GitHub 上查找,有一个相关用户

进入项目,根据README.md文件提示,将__APP__文件下载下来

在__APP__文件中可以找到一串字符串: U2FuZ0ZvcntTMF8zYXp5XzJfY3JhY2tfbm9vYl9wbGF5ZXJ9

base64解码后得到flag

[OtterCTF 2018]
What the password?
最低0.47元/天 解锁文章
2401_86436851
关注
CTF笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(1)
aergsergare的博客
09-05 2313
volatility -f Target.vmem --profile=Win7SP1x64 lsadump volatility -f Target.vmem --profile=Win7SP1x64 filescan 0x000000007d8c7d10 4 0 R–r-d \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz.exe volatility -f Target.vmem --p
CTF内存取证三项.7z
11-16
CTF取证分析,对学习有很大帮助。
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
易于扩展:通过插件来扩展 Volatility 的分析能安装分为三步:下载安装必要的 python 依赖件安装本体你可以在 Release 中找到对应你系统(M
CTF笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 3337
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
CTFShow-电子取证篇Writeup
Aluxian_的博客
05-18 3471
CTFShow-电子取证篇Writeup。
[OtterCTF 2018] 电子取证
qq_61768489的博客
08-14 1011
计算机的主机名不可以被直接读取(vol没有模块可以处理),但是注册表内储存了相关信息,那么便可以从注册表中读取到主机名。这个就是flag 好坑, NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}进程里有Rick And Morty ,漂亮国的动画,一定是下这个片儿进来病毒了。已知在登录过程中,账号可能会以明文的形式储存在内存之中,我们便可以利用。恶意软件是如何进入瑞克的电脑的?指令可以打印文件的hexdump信息,故借此筛选特定信息的位置。...
CTF-内存取证
梳碧湖的砍柴人
12-13 3140
一道简单得CTF,主要是内存取证方法 ![在这里插入图片描述](https://img-blog.csdnimg.cn/dfa0a8d28dcd4072973bb9b3f38e45e7.png?x-oss-process=image/watermark,type _d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5YiY5aeR5aiY55qE5oSP5Lit5Lq6,size_19,color_FFFFFF,t_70,g_se,x_16) ...
OtterCTF 内存取证
weixin_51804748的博客
05-15 3662
最近小小的学习了一下内存取证,装环境搞了整整一天,非常麻烦,在阅读相关资料时偶然看到了一篇WriteUp,是关于OtterCTF2018的十三道内存取证目,用的全部是同一个镜像,考察的知识点非常全面,可以用来熟悉一下volatility的使用,关键是比赛平台居然还开着,正好当作内存取证的一次入门学习 OtterCTF 1 - What the password? ┌──(root㉿kali2022)-[~] └─# vol.py -f /root/桌面/OtterCTF.vmem imageinfo
内存取证_CTF
a1912993110的博客
09-15 2661
内存取证 获取内存镜像信息,获取系统版本 volatility -f 1.raw imageinfo 查看进程信息 volatility -f 1.raw --profile=WinXPSP2x86 pslist 留意可疑进程例如:cmd.exe(控制台) notepad.exe(记事本) StikyNot.exe(便笺) 3.查看cmd.exe的使用情况 volatility -f 1.raw --profile=WinXPSP2x86 cmdscan 4. 查看notepad.exe
内存取证CTF-Memlabs靶场5
qq_42947816的博客
02-01 1487
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
OtterCTF-内存取证
5L2g556F5ZWl77yf
11-30 1502
控制系统启动的有三个注册表项,在HKEY_LOCAL_MACHINE/SYSTEM下,存在着 CurrentControlSet、ControlSet001、ControlSet002这三个子键,其中,ControlSet001,ControlSet002这两个子键中包含主机名。通过文件搜索相关关键字,分析来源,发现下载 BitTorrent协议的种子文件 ,在第7进程中也发现了相关进程,转储该文件进行分析。查看该进程进程树,发现它还有一个字进程vmware-tray.ex。
CTF Misc(2)内存取证基础以及原理,覆盖了大部分
Ba1_Ma0的博客
03-16 8064
本篇文章演示的插件已经可以做绝大部分目了,之后就多在buuctf或者ctfshow等线上ctf平台,积累经验。
内存取证CTF-Memlabs靶场1
qq_42947816的博客
02-01 3215
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
CTF取证技术实战,图片、文件、流等相关内容的取证技术
Scalzdp的专栏
10-25 2698
取证技术在我们安全工作中非常重要,我们可以通过已经产生的流量、日志、文件等信息发现安全存在的蛛丝马迹。通过取证技术的应用,安全工作者可以明确系统存在的漏洞,以及都是谁在系统中做了什么事,其价值和意义对个人、企业、国家而言都是非常重要的。
CTF学习24.11.8[取证]
最新发布
skulltougaigu的博客
11-08 403
(Electronic Data Forensics,简称)是一门专业领域,涉及调查、收集、分析和技术保护电子设备和数字环境中存储的数据。它在法律案件、安全审计和企业合规中扮演关键角色。:从可疑设备或网络源中合法地提取电子数据,可能涉及硬盘镜像电子邮件、聊天记录等。:使用专业的工具对数据进行初步检查,识别文件类型、时间戳和其他元数据,以便确定其价值和关联性。:如果数据部分损坏或加密,可能需要特殊技术解密或修复。:整理提取的数据,确保其完整性和可追溯性,并遵守法律要求的保密性和保管期限。
CTFmisc-内存分析(Volatility)
热门推荐
Battery的博客
05-04 14万+
Volatility 简介: Volatility是一款开源的,基于Python开发的内存取证工具集,可以分析内存 中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、 Android操作系统的RAM数据进行提取与分析。(高等级版本kali现需要自己下载Volatility,依赖于python环境安装)volatility 使用: 开始准备: volatility -f <文件名>–profile= <配置文件><插件>[插件.
CTF笔记:whitegive_pwn漏洞分析与plt/got表利用
笔记记录了作者在CTF(Capture The Flag)比赛中的经验,特别关注于一道名为"whitegive_pwn"的挑战。该目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值