2021寒假MISC打卡DAY17

最新推荐文章于 2024-02-19 09:14:20 发布
最新推荐文章于 2024-02-19 09:14:20 发布
阅读量379 收藏
点赞数
分类专栏: 打卡日常 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LLKJSAF/article/details/114402184
版权

  1. [V&N2020 公开赛]内存取证

http://dd.zhaoj.in/3ehg38dgey84d3dhou32d3/mem.raw
得到的 flag 请包上 flag{} 提交。

Hint:记事本

这是一道复现地很费劲的题😂

得到mem.raw和VOL(VOL对应后面链接失效的地方,按下不表)

内存取证起手式:

volatility -f mem.raw imageinfo

得到可能版本后

volatility -f mem.raw --profile=Win7SP1x86_23418 pslist

查看进程

6mEkTO.png

关注

TrueCrypt.exe 3364
notepad.exe 3552
mspaint.exe 2648

分别dumpit

volatili
最低0.47元/天 解锁文章
煤矿路口西_CTF小学生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第二周——学习内存取证神器volatility的使用
weixin_43721828的博客
03-18 2319
第二周——学习内存取证神器volatility的使用 volatility -f mem.raw imageinfo#这个命令可以用来获取内存镜像的摘要信息,比如系统版本,硬件构架等 第一个就是最有可能的镜像文件的版本,最可能是Win7SP1x86_23418 Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search...
[RoarCTF2019]forensic(内存取证)
4pri1
05-25 1666
volatility 基本思路:先看看操作系统,然后查一下进程和内存信息,把可能有问题的dump出来,然后借助linux本身的一些工具分析。 首先用 volatility -f ./mem.raw imageinfo 查看系统信息 这里重点关注 Suggest Profiles 和 data and time 然后看一下进程信息 volatility -f ./mem.raw pslist --profile=Win7SP1x86 这四个进程对应的是最可能存在问题的用户创建...
volatility内存取证----命令演示
热门推荐
Battery的博客
05-11 11万+
介绍:取证题在ctf中占比越来越大,作为新入ctf的我来说,打的几场ctf几乎每次都有取证题,之前的比赛也都是无可奈何,终于沉下心认真复现了一道题目。 volatility的安装 以前的老版本kali有自带的volatility,所以能够直接使用,但是现在的版本基本上都需要自己下载安装了,主要是依赖于python环境安装,需要一些库,建议使用python3 下载链接:https://www.volatilityfoundation.org/releases 下载好之后直接到根目录直接运行vol.py
[MRCTF2020]Hello_ misc
zip471642048的博客
07-28 702
把这些值转化为二进制,提取前两位,得到rar的解压密码rar-passwd0ac1fe6b77be5dbe。打开发现这个zip文件也是有密码的,trytorestoreit.png这个图片里面还有一张图片。解压flag.rar文件得到一个fffflag.zip,发现是docx文件,用pdf打开,修改字体颜色。base64多行解密,替换1为空格得到flagflag{He1Lo_mi5c~}解压第一个提取出来的zip文件,得到一个txt文件。......
内存取证 && volatility工具(持续更新)
苦行僧的妖孽日常
10-03 539
中国工业互联网安全大赛writeup
ISCC2021-MISC部分题目.zip
08-07
ISCC2021-MISC部分题目.zip是一个与ISCC(International Symposium on Computer Science and Convergence,国际计算机科学与融合大会)相关的压缩包文件。这个压缩包可能包含了该会议的多份论文、研究报告或者竞赛...
ctf之misc所需要工具
06-05
基本包含了所有misc所需要的工具,还有很多在线工具,自行百度即可 (绝对不吃亏,如果还觉得少了请联系我)
misc.xml
03-09
misc.xml
宁波市赛misc2.zip
01-23
【宁波市赛misc2.zip】是一个压缩包文件,其主要包含了一个名为`text.pdf`的文档。根据提供的信息,我们可以推测这个文件可能与宁波市举办的一场竞赛或者活动有关,而`misc2`可能指的是该赛事的第二部分或者某种分类...
sun.misc.BASE64Encoder源码及jar包
07-26
在Java编程语言中,`sun.misc.BASE64Encoder`和`BASE64Decoder`是用于进行Base64编码和解码的内部类,它们属于`sun.misc`包,这是一个非公开(非标准)的Java库。`sun.misc`包中的类主要用于JVM内部使用,因此在官方...
内存取证之volatility及案例演示
m0_46467017的博客
08-27 2975
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。若没有不会安装可以查看这篇文章内存取证-Volatility安装使用以及一些CTF比赛题目。......
Elcomsoft 取证工具包系列: Elcomsoft Forensic Disk Decryptor 加密磁盘解密工具
sanyuan7783的博客
02-19 1814
Elcomsoft Forensic Disk Decryptor 软件支持即时访问存储在加密的 BitLocker、FileVault 2、PGP Disk、TrueCrypt 和 VeraCrypt 磁盘和容器中的数据。该工具从 RAM 镜像、休眠和页面文件中提取加密密钥,或使用纯文本密码或托管密钥来解密存储在加密容器中的文件和文件夹,或将加密卷挂载为新的驱动器号,以便即时、实时访问。
[V&N2020 公开赛]内存取证
volcano的博客
04-08 4622
题目地址: https://buuoj.cn/challenges#[V&N2020 公开赛]内存取证 这题用到的内存取证分析工具是Volatility 关于这个工具的具体命令非常多,可以在官方页面仔细看看 解题 先下载上面的附件,这种raw文件是内存取证工具Dumpit提取内存生成的内存转储文件。 ...
BUUCTF [RoarCTF2019]forensic
../../../../../../../
10-12 1325
打开 下载到mem.rawmem.raw放入kali volatility查看镜像 volatility -f mem.raw imageinfo 建议用profile, 后面用Win7SP1x86 查看内存进程: volatility -f men.raw pslist --profile Win7SP1x86 发现有几个进程 了解发现: TrueCrypt.exe是一款磁盘加密工具,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。 notepad.exe windows自带记事本
BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证
pone2233的博客
10-29 3266
题目介绍 这道题目,我们要在Buu上面做需要的步骤需要调整,先下载链接内容,然后在下载附加。 BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证 P1 我们使用volatility,进行镜像分析 volatility -f mem.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on
BUUCTF: [V&N2020 公开赛]内存取证
末初的CSDN博客
11-21 2918
https://buuoj.cn/challenges#[V&N2020%20%E5%85%AC%E5%BC%80%E8%B5%9B]%E5%86%85%E5%AD%98%E5%8F%96%E8%AF%81 这里贴网上看到的一位师傅这道题wp的思维导图,地址:https://blog.xiafeng2333.top/ctf-25/ 查看镜像的Profile volatility -f mem.raw imageinfo 查看进程 volatility -f mem.raw --prof
ctf 内存取证的一些命令
舞动的獾
11-12 7952
内存取证 相当于给出镜像文件,一般为.raw文件,在这些文件中找出相应的文件 常用命令 在kali下用工具volatility 查看系统信息 volatility -f mem.raw imageinfo 如下显示的系统都有可能,可以一个个的试试 查看运行程序列表 volatility -f mem.raw --profile=Win7SP1x64 pslist ...
记一次奇怪的truecrypt解密,隐藏分区的MasterKey
fjh1997的博客
05-06 3030
地址 题目地址: https://buuoj.cn/challenges#[V&N2020%20%E5%85%AC%E5%BC%80%E8%B5%9B]%E5%86%85%E5%AD%98%E5%8F%96%E8%AF%81 参考了夏风大佬的博客: https://blog.xiafeng2333.top/ctf-25/ 说明 在这道题里面,最终的一个VOL加密文件,可以通过passphr...
volatility 基本用法
xuqi7
10-22 1万+
volatility---基本用法 Keyword: forensic 取证 官网: https://www.volatilityfoundation.org/ github地址: https://github.com/volatilityfoundation/volatility wiki: https://github.com/volatilityfoundation/volatility/wiki
jdk 17 sun/misc/BASE64Encoder
最新发布
04-10
JDK 17是Java Development Kit(Java开发工具包)的一个版本,它是用于开发和运行Java应用程序的软件包。JDK 17包含了Java编译器、Java虚拟机和其他一些开发工具。 sun/misc/BASE64Encoder是JDK中的一个类,它用于将数据进行Base64编码。Base64编码是一种将二进制数据转换为可打印字符的编码方式,常用于在网络传输中传递二进制数据或存储二进制数据到文本文件中。 然而,需要注意的是,sun/misc/BASE64Encoder类并不是JDK的公共API,它属于JDK内部的实现细节,并不建议在应用程序中直接使用。在JDK 9之后,该类已被标记为不推荐使用,并且在JDK 11中已被删除。 如果您需要进行Base64编码操作,可以使用java.util.Base64类提供的API。这个类提供了Base64编码和解码的方法,可以更安全和可靠地进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值