使用工具
volatility WinHex
1. 从内存中获取到用户admin的密码并且破解密码,作为flag提交;
使用imageinfo得到操作系统
volatility.exe -f E:\网络安全\volatility\1.vmem imageinfo
使用hashdump得到密码hash
volatility.exe -f E:\网络安全\volatility\1.vmem --profile=Win7SP1x64 hashdump
使用hashcat破解密码hash,得到明文密码
2. 获得当前系统的主机名,将主机名作为flag提交;
python -f vol.py /root/Desktop/1.vmem --profile=Win7SP1x64 hivelist
3. 获取当前系统浏览器搜索过的关键词,作为Flag提交;
python -f vol.py /root/Desktop/1.vmem --profile=Win7SP1x64 iehistory
4. 当前系统中存在挖矿进程,请获取指向的矿池地址,作为Flag提交;
python -f vol.py /root/Desktop/1.vmem --profile=Win7SP1x64 netscan
5. 恶意进程在系统中注册了服务,请将服务名以Flag{服务名}形式提交。
将进程导出来,然后使用Winhex分析
flag{WindowsATE}
6. 黑客在登录系统后下载了文件,请将文件内容作为flag提交;
python -f vol.py /root/Desktop/1.vmem --profile=Win7SP1x64 filescan | grep flag