MISC取证_ezEforensics

最新推荐文章于 2023-09-17 13:59:31 发布
最新推荐文章于 2023-09-17 13:59:31 发布
阅读量405 收藏 2
点赞数
分类专栏: CTF 文章标签: 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lavignesong/article/details/128563615
版权

这次是一道打开之后需要百度这是什么格式的题,不常见的raw文件。百度之后发现是未格式化的系统文件,结合题目,应该是一道比较简单的取证分析题。话不多说,先上工具。

这次用到的工具是volatility,紧急下载安装kali后发现新版本的Kali没有volatility,还是得自己安装。

volatility安装

安装过程非常简单:

官网下载Linux版本Standalone: https://www.volatilityfoundation.org/26
解压缩(我改了解压文件名),建立软链接,验证安装成功 
unzip volatility_2.6_lin64_standalone.zip
ln -s /home/kali/Desktop/ctf/forensic/volatility_2.6/volatility /usr/bin/
volatility -h

WriteUp

接下来开始探索raw文件(具体思路来源见(27条消息) 内存取证——volatility_「已注销」的博客-CSDN博客_内存取证

  1. 判断该文件内存进程,得到profile类型 Win7SP1x64 (-f 指定文件)

volatility -f 1.raw imageinfo

  1. 查看有关进程,利用grep命令找寻文件中的关键字secret/flag等

volatility -f 1.raw pslist --profile=Win7SP1x64
volatility -f 1.raw --profile=Win7SP1x64 filescan |grep secret

  1. 发现桌面上有secret.png图片,使用dumpfiles命令提取文件(这个东西之前完全不知道)

volatility -f 1.raw --profile=Win7SP1x64 dumpfiles -Q 0x7fce3290 --dump-dir=/home/kali/Desktop/ctf/forensic/
# -Q = memory address
# --dump-dir=export file path

截止目前,获取到了flag的第一部分

flag{abc123_e5b2

  1. 继续探索,根据进程发现有浏览器打开、cmd使用等等,查看剪贴板发现flag第二部分

1 WinSta0       CF_UNICODETEXT                0x8012b 0xfffff900c215d340 _78343_ab52

  1. 根据常用功能的尝试,提取执行的命令行历史记录cmdscan

获得第三部分flag

Cmd #0 @ 0x2cbf40: DumpIt.exe -flag _333a}

小记

上述是复原WriteUp的过程,实际探索走了很多弯路。例如:

分析smss.exe进程并提取flag,发现有很多混淆

volatility -f 1.raw --profile=Win7SP1x64 memdump -p 216  -D /home/kali/Desktop/ctf/forensic/

strings -e l 216.dmp|grep flag

分析截图,发现都是空白

volatility -f 1.raw --profile=Win7SP1x64 screenshot --dump-dir=/home/kali/Desktop/ctf/forensic/

In a word, 取证需要耐心。

附录-volatility常用命令

获取内存镜像的摘要信息
volatility -f 镜像名 imageinfo
获取运行的进程
volatility -f 镜像名 --profile=系统版本 pslist
获取缓存在内存中的注册表
volatility -f 镜像名 --profile=系统版本 hivelist
扫描文件 结合 grep 进行筛选
volatility -f 镜像名 --profile=系统版本 filescan
volatility -f 镜像名 --profile=系统版本 filescan | grep -E 'jpg|png|jpeg|bmp|gif'
提取内存中缓存的文件
volatility -f 镜像名 --profile=系统版本 dumpfiles -Q [文件地址] --dump-dir=./
获取cmd输入的内容
volatility -f 镜像名 --profile=系统版本 cmdline
查看截图
volatility -f 镜像名 --profile=系统版本 screenshot --dump-dir=./
查看系统用户名
volatility -f 镜像名 --profile=系统版本 printkey -K "SAM\Domains\Account\Users\Names"
查看网络连接情况
volatility -f 镜像名 --profile=系统版本 netscan

附录参考:https://blog.csdn.net/weixin_43891422/article/details/107852416

lavignesong
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-Misc:简单取证
ALLEN'Blog
12-09 860
提示为 flag{用户名_对应的密码}
Misc-内存取证
qq_42240719的博客
10-01 932
Volatility 2.6 Linux Standalone Executables (x64)入门级操作
[Misc] 取证分析/隐写学习
weixin_30379911的博客
03-17 575
文件file磁盘disk网络数据包pcap内存dump镜像imagefile/identify/strings常见文件特征串https://en.wikipedia.org/wiki/List_of_file_signatures很好很全音频探测 Audacity软件查看波形 声音频谱在线拨号音探测软件http://dialabc.com/sound/detect/磁盘分区格式Windows FA...
BugKu-CTF(杂项篇MISC)--简单取证1
Nailaoyyds的博客
03-18 1908
根据题目得知为取证,使用工具mimikatz, github地址:https://github.com/ParrotSec/mimikatz 将文件夹config复制到mimikatz文件夹内,然后打开mimikatz进行配置文件,进入config文件夹 然后使用命令lsadump::sam /sam:SAM /system:SYSTEM查看这个文件夹里面所有的用户名和密码,之后自行查看administrator的, MD5解密 flag{administr...
CTF-misc内存取证心得笔记
最新发布
Pompey_wp的博客
09-17 287
除此之外还需要 /boot 目录下的 System.map 文件,然后将这两个文件打包压缩,放在 volatility/plugins/overlays/linux 目录下即可,再执行 volatility --info 就可以看到新的 Linux profile 了。dump 出来的内存中往往会存在一些字符串,可以用 strings 命令提取出来,然后通过搜索来寻找一些特定的字符串,比如 flag、secret 啥的。volatility3 -f banners 可以检测当前 Linux 版本。
bugku misc 简单取证 1
weixin_46578840的博客
05-01 853
下载文件解压得到 根据其文件名以及目录结构,应该是要用SAM的用户信息 PS:SAM文件:分支是HKEY_LOCAL_MACHINE\SAM,存储在C:\Windows\System32\config\SAM文件中,保存了用户的密码信息 使用mimikatz读取信息, 工具地址:https://github.com/ParrotSec/mimikatz lsadump::sam /sam:SAM /system:SYSTEM 根据提示,解码这一串并组合得到flag ...
syncOrderRelation.rar_misc_syncOrderRelation_webservice java dsm
09-19
【标题】"syncOrderRelation.rar_misc_syncOrderRelation_webservice java dsm" 提供的是一个关于移动misc平台订购处理的相关程序,结合了Web服务接口和Java技术,并涉及到DSM(可能是数据存储管理)方面。...
misc_excel_stuff
03-28
标题“misc_excel_stuff”可能指的是一个包含各种Excel相关的杂项材料的压缩文件。在这个压缩包中,我们看到只有一个文件名为“misc_excel_stuff-main”。这个文件很可能是主文档或是一个包含了多个Excel技巧、模板...
DES.rar_pch.h misc
09-22
"misc"通常表示“杂项”或“不分类”,在这个上下文中可能意味着文件集合包含了与DES算法相关的各种杂项代码、示例或辅助文件,可能并不局限于单一功能或特定用途。 在DES算法的实现中,可能会涉及以下关键概念: ...
2021-10-12T15_46_29.634969+00_00misc题_流量分析.rar
10-21
标题 "2021-10-12T15_46_29.634969+00_00misc题_流量分析.rar" 暗示这是一个关于网络安全竞赛(CTF)的挑战,涉及的是流量分析方面的内容。描述提到“CTF附件题——MISC类型——数据库登录”,表明该挑战可能需要...
pcm_misc.rar_The Given
09-23
在本文中,我们将深入探讨PCM技术,以及与“pcm_misc.rar_The Given”相关的知识点。 PCM的工作原理是通过采样、量化和编码三个步骤将模拟音频信号转换成数字形式。首先,采样是对模拟信号在时间轴上的离散化,根据...
内存取证_V&N2020 公开赛Misc-内存取证 Writeup
weixin_39869959的博客
01-12 463
随随便便打个比赛,这道题是做到的最恶心的。卡了接近12h。废话少说,先来看题。内存取证,附件下载下来是个512M的内存Dump。直接上神器 Volatility,看看有啥进程。存在以下几个可疑的mspaint.exenotepad.exeTrueCrypt.exe 取证大师扫一下,看到个 share.txt,提示百度云链接,以及提取码 heem(或者你愿意也可以手动在strings里面找可疑的,笑...
[ctf Misc][RoarCTF2019]forensic +内存取证
ShenZ的博客
09-09 2270
这题蛮鬼的,就,没有捷径,捷径导出文件一定是坏的 附件:mem.raw [RoarCTF2019]forensic 1.volatility处理 λ volatility_2.6_win64_standalone.exe -f xxx7\Compressed\mem.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based o
misc
qq_43613772的博客
07-17 2869
Misc 是英文 Miscellaneous 的前四个字母,杂项、混合体、大杂烩的意思。 Misc 在国外的比赛中其实又被具体划分为各个小块,有 Recon、Forensic、Stego、Misc… 在国内内的比赛中,被统一划分入 Misc 领域,有时 Crypto(尤其是古典密码)也被划入其中。 杂项大致有几种类型: 流量分析 隐写 压缩包处理 文件格式分析 攻击取证 主要介绍一些获取信息的渠道...
DASCTF7月misc--ez_forenisc
WXjzcccc的博客
07-27 716
取证大师解bitlocker(也可以先将vmdk转换为其他passware可以识别的格式,直接通过内存镜像解出一个解密的镜像)查看内容发现密文,看着像base64,但是base64可不需要密钥啊,那么就有可能是AES了。有密钥那就有密文,继续分析内存文件,扫描文件时发现一个文件thes3cret。passware解析内存镜像,得到用户名密码550f37c7748e。压缩包有密码,密码就是之前得到的用户密码,解压得到内容。观察发现没有大于8的数字,判断是8进制,转换一下输出。预览发现是压缩包,直接导出文件。.
CTF-MISC总结
Atkx's Blog
04-20 8928
ZIP文件格式 50 4B 03 04:这是头文件标记(0x04034b50) 14 00:解压文件所需 pkware 版本 00 00:全局方式位标记(有无加密) 08 00:压缩方式 20 9E:最后修改文件时间 66 4F:最后修改文件日期 F2 1B 0F 4A:CRC-32校验(4A0F1BF2) 0E 00 00 00:压缩后尺寸 0C 00 00 00:未压缩尺寸 08 00:文...
volatility内存镜像取证
M3ng@L的博客
01-15 4181
volatility内存镜像取证miscraw文件一般不是一个图像文件RAW(图像文件)_百度百科 (baidu.com) 而是内存镜像文件,(10条消息) 内存映像文件简介_hust_sheng的专栏-CSDN博客_内存映像文件 也就是说在这个镜像文件里面,我们可以看到当时主机上运行的进程以及交换的文件 这里介绍使用volatility对raw文件进行取证,也就是是内存取证 volatility安装(10条消息) volatility安装及使用_陈止风的博客-CSDN博客_volatility安装
2021年“莲城杯”网络安全大赛-Misc-解密试试
qq_43264813的博客
10-13 597
2021年“莲城杯”网络安全大赛-Misc-解密试试 题目名称:解密试试 题目内容:解密试试 题目分值:300.0 题目难度:困难 相关附件:mem的附件.7z 解题思路: 1.raw文件,内存取证题 进入.raw文件所在目录,输入命令判断该文件内存进程 volatility.exe -f mem.raw imageinfo 2.可以得到profile类型WinXPSP2x86,filescan保存一下 volatility.exe -f mem.raw --profile=WinXPSP2x86 f
2022——赣网杯MISC题目来学习volatility
小菜猴子_x
03-03 418
2022——赣网杯MISC题目来学习volatility
misc_register
05-30
`misc_register`函数是Linux内核中的一个函数,用于向内核注册一个杂项设备。杂项设备是一种特殊的设备,通常用于提供某些特殊的功能,比如计数器、定时器等等。`misc_register`函数会将一个`miscdevice`结构体注册到内核中,这个结构体包含了设备的各种属性,比如设备名、设备号、设备操作函数等。一旦设备注册成功,用户程序就可以打开这个设备文件,并通过系统调用来访问设备提供的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值