护网杯2019预选赛第二题
内存取证弟弟题?
题目名叫:
Baby_forensic
题目附件地址
目录
3. 通过cmdscan[孙2] 提取命令历史记录,结果如下
4. 通过filescan查看文件目录,检查disk.zip:
知识点:
内存取证工具volatility 的使用:
volatility -f <文件名> --profile=<配置文件> <插件> [插件参数]
使用imageinfo插件来猜测dump文件的profile值:WinXPSP2x86
root@kali:~/quzhen# volatility -f mem.vmem imageinfo
grep是用来搜索特定的字符串,bgrep是用来搜索非文本数据模式和hexdump
volatility –info 用于查看volatility已经添加的profile和插件信息
Volatility -f file.raw imageinfo 判断当前镜像信息,或kdbgscan,仅适合windows内存镜像
常见插件:
Volatility -f file.raw –profile=WinXPSP2x86 notepad 查看当前展示的notepad文本
Volatility -f file.raw –profile=WinXPSP2x86 pslist 列出运行的进程,如果Exit所在的一列显示了日期时间,则表明该进程已经结束了
Hivelist 列出缓存在内存中的注册表
Filescan 扫描内存中的文件
Dumpfiles 将内存中的缓存文件导出
Volatility -f file.raw –profile=WinXPSP2x86 Memdump -p 进程号 -D ./(导出目录) 将某个进程信息导出/根据pid dump出指定进程
Foremost 2888.dmp 分析dump出的内存文件
Svcscan 扫描windows的服务
Connscan 查看网络连接
Cmdscan 查看命令行上的操作
取证方法建议
RFC 3227提供了获取数字证据的许多做法,比如,收集数据的顺序可以决定调查的成败。
这个顺序称为波动顺序(Volatility Order),顾名思义,调查人员必须首先收集易消失的数据。易失性数据是系统关闭时可能丢失的任何数据,例如连接到仍然在RAM中注册的网站。调查人员必须将先从最不稳定的证据中开始收集数据:
(1)缓存
(2)路由表,进程表,内存
(3)临时系统文件
(4)硬盘<