ctf内存取证----easy_dump

最新推荐文章于 2025-09-10 10:14:43 发布
原创 最新推荐文章于 2025-09-10 10:14:43 发布 · 3.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细记录了一次内存取证的过程,通过Volatility工具分析Win7SP1x64系统,从IE历史记录中发现隐藏的jpg文件,提取出zip文件,进一步得到hint.txt。解密坐标信息得到Vigenere密文,并使用'aeolus'作为密钥成功解密,最终得出可能的flag——'yeeeeeet!just_find_and_solve'。

前一段时间又做了去年护网杯的内存取证题

第一次不参考任何wp提示,自己做,没想到做得挺顺利

 

 

Easy_dump writeup

 

解题步骤

Step 1

Volatility imageinfo

得知系统为Win7SP1x64

 

Setp 2

查看进程列表

 

查看命令行历史

 

没有什么发现

Step 3

执行netscan、iehistory等命令,发现在iehistory中有一个jpg文件

 

最低0.47元/天 解锁文章
CTF整理】电子取证Easy_dump(18)
一个偶尔更新,有点神经质的开发人员,专注于网络安全和人工智能应用领域。
06-18 9734
目录电子取证Easy_dump(18)资源和连接正文:0x010x020x030x040x050x060x070x080x090x100x110x12总结: 电子取证Easy_dump(18) 资源和连接 原题资源:https://pan.baidu.com/s/1z73M2MRr6W6AfM57lomF-w 提取码:1tf5 声明:本题的解法众多,我在重温这道题的时候也是借鉴了很多大佬的文章,但是本篇文章的内容都是自己所做所写,仅供大家技术交流。 参考链接: 2018——easy_d
ctf杂项-easy_dump.img
CTF小杂鱼的专栏
07-18 3530
原题某大赛的真题,之前培训老师给讲过一次,但是重点讲的是内存取证,后续套路没有展开讲,题给了,索性就从头解了一遍。 例题一 easy_dump.img 1、拿到镜像先放到diskgenies里进行磁盘扫描,无果。 2、在/tmp目录下挂载此镜像,无果。 root@kali:/tmp# mkdir 1 root@kali:/tmp# mount easy_dump.img ./1 使用file命令查看easy_dump.img显示为data数据文件。 3、使用ro...
ctfshow-memprocfs工具取证总结
最新发布
绘梨衣の沉默的博客。主要是CTF竞赛,网络安全,渗透测试,HVV,以及学习到的各种知识的分享
09-10 396
内存取证分析命令总结:通过memprocfs工具可挂载内存转储文件(M:或S:),支持实时取证(-forensic1)和WinPMEM驱动读取。关键可疑指标包括PE注入/修改、PRIVATE_RWX异常权限、NO_IMAGE隐藏模块等。分析发现Hmohgnsyc.exe可疑进程隐藏在Todesk目录下,系统信息和取证数据分别存储在sysinfo.txt和forensic文件夹中。
内存取证ctf
shshshsh_的博客
11-11 433
前言,前两天我们学习了安装和基本命令,所以今天我们就找几个ctf的题目来练练手。
【blueteam-ctf-challenges内存取证部分】RedLine Blue Team Challenge
weixin_64836216的博客
12-01 1287
这是一道内存取证的题,总体相对来说比较简单,主要是熟悉工具的使用和分析的思路
ctf比赛中内存取证题目解析1
2401_85046491的博客
05-30 541
摘要:通过对系统镜像分析,获取admin用户密码flag{admin,H8d*or},系统IP和主机名flag{192.168.232.129:CXKKA2ZCLKN}。发现挖矿进程矿池地址flag{51.254.84.37}和恶意服务名flag{WindowsATE}。最后导出黑客下载的flag文件内容flag{f2cxewa4xcsaac2}。
OtterCTF-内存取证
WTT001的博客
11-30 1666
最终我们找到了flag:Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in 没有Year咱也不知道为什么,在此过程中我们还发现了Flag.txt应该与后面的题目有关。使用strings命令配合grep命令查找Rick And Morty相关数据,这里查找的是Rick And Morty下载中相关的数据。大佬说先把所有的chrome浏览器进程转储下来,这里注意一定要建立一个目录,把chrome储存的内容都放在目录中,要不容易混乱。这道题目依旧不知道干啥,没事接着翻大佬的wp。
内存取证之windows-Volatility 3
2303_81631620的博客
03-20 3687
系统信息:显示操作系统的基本信息。vol -f <内存镜像文件路径> windows.info进程列表:列出所有进程。vol -f <内存镜像文件路径> windows.pslist络连接:列出络连接和套接字。vol -f <内存镜像文件路径> windows.netscan文件扫描:扫描内存中的文件对象。vol -f <内存镜像文件路径> windows.filescan注册表分析:列出注册表 hive 文件。
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
Android apk破解反编译应用-EasyDump
zhm322的专栏
04-20 840
大家好,今天与大家分享一个很easy的反编译应用-EasyDump,它主要有以下优点: 1、支持加固后的编译,主包包括360加固、百度加固、腾讯加固、爱加密、梆梆加固。 2、不需要手机root就可以反编译导出dex文件。 马上给大家介绍一下使用方法: 1、安装EasyDump 打开EasyDump官方,下载最新版本,如截图: 2、安装EasyDump EasyDump的安装方式比...
easy-dumpsys:输出以下adb命令的脚本:`adb shell dumpsys activity `以更小,更容易和用户友好的方式..
01-31
easy-dumpsys:输出以下adb命令的脚本:`adb shell dumpsys activity `以更小,更容易和用户友好的方式..
ctfdump:使用 libctf 重新实现 ctfdump 实用程序的 BSD 许可
06-01
转储 将 CTF 数据打印到stdout 。 用法 ctfdump [-adfglt] <file> -a打印所有 -d打印数据对象 -f打印函数对象 -g打印一般信息 -l打印标签 -t打印类型 建造 $ ninja 或者 $ make 依赖关系 库文件 例子 标签 root@FreeBSD_Box:~ # ctfdump -l /boot/kernel/zlib.ko -- Labels ------ Name: FreeBSD 10.0-RELEASE i386 1000510 Index: 143 数据对象 root@FreeBSD_Box:~ # ctfdump -d /boot/kernel/zfs.ko | head -9 -- Data Objects ------ Name: avl_balance2child Type: const int [3] Nam
kali中安装内存取证工具volatility
weixin_62024248的博客
04-21 1543
因为kali自带的pip都是3.0版本的。所以需要手动安装基于python2的pip。# 下载 get-pip.py# 安装 pip出现如图代表安装成功。
CTFshow电子取证——内存取证1
m0_73756016的博客
04-12 1196
思路从JiaJia_Co.raw中识别系统版本从注册表中获取计算机内有哪些用户打印注册表中UserAssist相关信息,获取计算器程序最后一次运行的时间解题过程使用imageinfo插件,获取系统版本从imageinfo结果中可知,该内存镜像的系统版本为。
CTF-Misc:简单取证
ALLEN'Blog
12-09 1069
提示为 flag{用户名_对应的密码}
【亲测免费】 揭秘CTF战场利器:CTF-陇剑内存分析-虚拟机内存取证1
gitblog_06632的博客
09-26 835
揭秘CTF战场利器:CTF-陇剑内存分析-虚拟机内存取证1 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在络安全领域,CTF(Capture The Flag)比赛是检验和提升技术能力的重要平台。而在CTF比赛中,内存取证任务往往是最具挑战性的环节之一。为了帮助参赛者更好地应对这一挑战,我们推出了“CTF-陇剑内存分析-虚拟机内存取证1”项目。该项目基于强...
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
2401_83974660的博客
04-17 1937
DPAPI技术是Windows提供的一种数据保API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。查看文件内容,是一段base64编码,对文件开头的一段内容进行base64解码,可以发现解码后的内容是zip文件的数据逆序。
CTF题记Volatility—取证小集合
Jay
03-08 1127
调试很多次,慢慢调节出一些值,这个值可以参考windows系统自带画图软件的,我的是1628x440,修改一下,就开始改变分辨率就可以了。是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。刚打开时,是默认分辨率是0,高度和宽度都是350,先随便调节一下,大概就是三个变量值都先调低一点,然后慢慢调高。然后就是TrueCrypt,这个dump下来不用进行其他操作,成功挂载到F盘,里面看到key 文件。先将这些可疑进程dump下来。
CTF 工具 集合
freeking101的博客
05-14 4172
CTF 工具 集合
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值