CTF 内存取证 USB流量分析

最新推荐文章于 2024-05-28 15:44:23 发布
最新推荐文章于 2024-05-28 15:44:23 发布
阅读量6.4k 收藏 32
点赞数 6
分类专栏: CTF 笔记 网络攻防 文章标签: CTF内存取证题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MOLLMY/article/details/100679762
版权
本文详细介绍了护网杯2019预选赛第二题Baby_forensic的解题过程,涉及内存取证工具Volatility的使用,包括imageinfo、pslist、cmdscan、filescan、binwalk -e和分析usb.pcapng文件等步骤。通过分析进程、命令历史记录、文件系统和USB流量,最终得出解密后的flag。
摘要由CSDN通过智能技术生成

护网杯2019预选赛第二题

内存取证弟弟题?

题目名叫:

Baby_forensic

题目附件地址

目录

Baby_forensic

知识点:

内存取证工具volatility 的使用:

取证方法建议

Keyboard scan code:

解题过程:

1. Kali中解压文件

2. pslist查看进程

3. 通过cmdscan[孙2] 提取命令历史记录,结果如下

4. 通过filescan查看文件目录,检查disk.zip:

5. 使用binwalk -e命令提取文件

6. 分析usb.pcapng文件

知识点:

内存取证工具volatility 的使用:

volatility -f <文件名> --profile=<配置文件> <插件> [插件参数]

使用imageinfo插件来猜测dump文件的profile值:WinXPSP2x86

root@kali:~/quzhen# volatility -f mem.vmem imageinfo

grep是用来搜索特定的字符串,bgrep是用来搜索非文本数据模式和hexdump

volatility –info    用于查看volatility已经添加的profile和插件信息

Volatility -f file.raw imageinfo     判断当前镜像信息,或kdbgscan,仅适合windows内存镜像

常见插件

Volatility -f file.raw –profile=WinXPSP2x86 notepad      查看当前展示的notepad文本

Volatility -f file.raw –profile=WinXPSP2x86 pslist    列出运行的进程,如果Exit所在的一列显示了日期时间,则表明该进程已经结束了

Hivelist   列出缓存在内存中的注册表

Filescan  扫描内存中的文件

Dumpfiles      将内存中的缓存文件导出

Volatility -f file.raw –profile=WinXPSP2x86 Memdump -p 进程号 -D ./(导出目录)       将某个进程信息导出/根据pid dump出指定进程

Foremost 2888.dmp    分析dump出的内存文件

Svcscan  扫描windows的服务

Connscan 查看网络连接

Cmdscan 查看命令行上的操作

 

取证方法建议

RFC 3227提供了获取数字证据的许多做法,比如,收集数据的顺序可以决定调查的成败。

这个顺序称为波动顺序(Volatility Order),顾名思义,调查人员必须首先收集易消失的数据。易失性数据是系统关闭时可能丢失的任何数据,例如连接到仍然在RAM中注册的网站。调查人员必须将先从最不稳定的证据中开始收集数据

1)缓存

2)路由表,进程表,内存

3)临时系统文件

4)硬盘<

最低0.47元/天 解锁文章
MOLLMY
关注
  • 6
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF——流量分析型整理总结
小锤队长的博客
12-19 4万+
我见过的流量分析类型的目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例: 一,ping 报文信息 (icm...
USB数据包分析
09-04
本篇分析数据包,仍然使用“HD-USB12”USB协议分析仪采集分析数据。分两部分内容:首先简单复习一下USB协议中的相关知识,然后用“HD-USB12”USB协议分析仪采集几个实例进行分析。 USB包由五部分组成,即同步字段(SYNC)、包标识符字段(PID)、数据字段、循环冗余校验字段(CRC)和包结尾字段(EOP。
CTF流量分析型深度解析
最新发布
白帽子凯哥聊黑客
05-28 1145
其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。最终提交的flag格式为flag。具体的键位映射关系可参考:《USB键盘协议中键码》中的HID Usage ID,链接:https://wenku.baidu.com/view/9050c3c3af45b307e971971e.html。
2020天津市ctf大赛之usb数据包流量分析
weixin_44145452的博客
10-05 4323
1.鼠标流量分析 1.常用命令 tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt 如果提取出来的数据有空行,可以将命令改为如下形式: tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt 如果提取出来的数据没有冒号,可以用脚本来加上冒号(因为一般的脚本都会按照有冒号的数据来识别,有冒号时提取数据的[6:8],“无冒号时数据在[5:
CTF流量分析常见型(二)-USB流量
qwzf
08-01 1万+
0x00 前言 在学习Wireshark常见使用时,对常见CTF流量分析型和铁人三项流量分析的部分问进行了简单总结。由于篇幅过长,于是另起一篇总结常见流量包分析。包括USB流量包分析和一些其他流量包分析。 0x01 USB流量包分析 USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。在CTF中,USB流量分析主要以键盘和鼠标流量为主。 1、键盘流量 USB协议数据部分在Leftover Capt
USB(键盘)流量分析
BvxiE的博客
07-17 2352
hws2023的一道misc,没接触过,写一份博客,稍微带一点鼠标流量,自己做收获,可能在某些情况仅适用本
记一次CTFUSB流量分析
fjh1997的博客
04-29 7209
最近在研究鼠标流量,找到如下的文章: https://www.cnblogs.com/hackxf/p/10670844.html 根据这个师傅的说法,不同的鼠标抓到的流量不一样,一般的鼠标流量是四个字节,第一个字节表示按键指示左键右键,第二个字节表示水平位移,为正(小于127)是向右移动,为负(补码负数,大于127小于255)是向左移动。第三个字节表示垂直位移,为正(小于127)是向上移动,为负...
CTF内存取证入坑指南!稳!
03-28
内存取证是网络安全领域中一种重要的技术手段,尤其在应对高级持续性威胁(APT)和恶意软件分析时,它能够提供实时、动态的数据,揭示攻击者的行为和系统状态。本篇文章将深入探讨内存取证的关键概念,并重点介绍...
CTF内存取证三项.7z
11-16
CTF取证分析赛,对学习有很大帮助。
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
内存分析与虚拟机取证】 在网络安全领域,内存分析是一种重要的技术手段,它主要用于调查和取证,尤其是在网络安全事件中寻找线索。在CTF(Capture The Flag)竞赛中,这种技术经常被用来解决复杂的挑战,例如...
CTF取证目指南
01-09
CTF中,取证包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证(除非它包含了密码学知识而被认为是...
ctf-usb-keyboard-parser:这是来自https的更新脚本
05-14
ctf-usb-键盘解析器 这是的更新脚本 用法 $ python usbkeyboard.py < file> 从pcap提取文件(可能不适用于每个pcap) $ tshark -r ./usb.pcap -Y ' usb.capdata && usb.data_len == 8 ' -T fields -e usb.capdata > usbPcapData 某些版本的tshark不会在每个字节之间添加“:”,如下所示: $ tshark -r ./usb.pcap -Y ' usb.capdata && usb.data_len == 8 ' -T fields -e usb.capdata 0000240000000000 0000000000000000 ... 如果发生这种情况,您可以使用sed来添加它们,如下所示: $ tshark -r ./usb.pcap -Y '
OtterCTF的Memory Forensics内存取证文件
12-09
内存取证,也称为内存分析,是信息安全领域中的一个重要分支,主要涉及从计算机的RAM(随机存取存储器)中提取并分析数据以获取证据或线索。在网络安全竞赛如OtterCTF中,这类任务通常用于挑战参赛者的逆向工程、...
hid键盘报告格式
a65135793的博客
05-11 4903
BYTE1 -- 特殊按键        |--bit0:   Left Control是否按下,按下为1          |--bit1:   Left Shift  是否按下,按下为1          |--bit2:   Left Alt    是否按下,按下为1          |--bit3:   Left GUI(Windows键) 是否按下,按下为1          |--b...
CTF基本解思路-杂项-(4)流量取证
Eric___Qu的博客
01-16 702
描述必要工具:Wireshark。
CTF取证总结(内存取证,磁盘取证)以及例复现
热门推荐
Love&Share
09-20 2万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
ctf内存取证----easy_dump
MOLLMY的专栏
09-15 2951
前一段时间又做了去年护网杯的内存取证 第一次不参考任何wp提示,自己做,没想到做得挺顺利 Easy_dump writeup 解步骤 Step 1 Volatility imageinfo 得知系统为Win7SP1x64 Setp 2 查看进程列表 查看命令行历史 没有什么发现 Step 3 执行netscan、iehisto...
CTF_Misc_Disk 恢复
WEB渗透测试 从入门到萌新
04-13 2098
1、打开文件 hex分析到有root 判断是Linux文件 2、我们linux打开看一下 └─$ file disk2 disk2: Linux rev 1.0 ext3 filesystem data, UUID=f4d4c80b-0724-4c50-89cc-bfb6f962131c (large files)这是一个ext3 3、我们挂载看看 ┌──(root㉿kali)-[/home] └─# mkdir disk-misc ...
CTF之——Misc_Disk 恢复
Jay
03-08 541
extundelete --restore-all 恢复出一个文件。1、打开文件 hex分析到有root 判断是Linux文件。5、我们看一下目文件 还有没有其它东西 我们恢复看一下。这是之前那个图片的密码 don0tgu355p@sswd。extundelete 用到这个软件。4、我们拖到windows看 存在密码。这种情况就怀疑对PNG的宽高做手脚,CTF_Misc_Disk 恢复。需要环境赛等更多资源请私聊博主。需要环境赛等更多资源请私聊博主。2、我们linux打开看一下。
ctf 流量usb协议
05-21
USB协议是一种用于在计算机和外部设备之间传输数据的标准。在CTF竞赛中,通常会出现需要分析USB流量包的情况。 USB流量包通常包含了从计算机到USB设备或从USB设备到计算机的数据传输信息。其中,数据传输可以分为控制传输、批量传输、中断传输和等时传输四种方式。 控制传输通常用于配置和控制USB设备,例如设置设备的地址和端点、发送控制命令、获取设备描述符等。批量传输用于传输大量数据,例如打印机输出、音频数据等。中断传输用于传输小量的时间敏感数据,例如鼠标和键盘输入。等时传输用于实时传输数据,例如视频和音频流。 在分析USB流量包时,需要了解USB协议的基础知识,并使用相关软件对流量包进行解析和分析,以便识别数据传输类型、提取数据内容等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值