2021-内存取证wp

最新推荐文章于 2024-08-13 23:50:36 发布
最新推荐文章于 2024-08-13 23:50:36 发布
阅读量2.8k 收藏 23
点赞数 6
分类专栏: 内存取证 Kali volatility 文章标签: python kali
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Maya_Soy/article/details/117924561
版权
内存取证 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
Kali
1 篇文章 0 订阅
订阅专栏
volatility
1 篇文章 0 订阅
订阅专栏

使用工具

volatility WinHex

1. 从内存中获取到用户admin的密码并且破解密码,作为flag提交;

使用imageinfo得到操作系统

volatility.exe -f E:\网络安全\volatility\1.vmem imageinfo

获得操作系统
使用hashdump得到密码hash

volatility.exe -f E:\网络安全\volatility\1.vmem --profile=Win7SP1x64 hashdump

在这里插入图片描述
使用hashcat破解密码hash,得到明文密码
在这里插入图片描述

2. 获得当前系统的主机名,将主机名作为flag提交;

python -f vol.py /root/Desktop/1.vmem --profile=Win7SP1x64 hivelist

在这里插入图片描述

在这里插入图片描述

3. 获取当前系统浏览器搜索过的关键词,作为Flag提交;

python -f vol.py /root/Desktop/1.vmem --profile=Win7SP1x64 iehistory

在这里插入图片描述
在这里插入图片描述

4. 当前系统中存在挖矿进程,请获取指向的矿池地址,作为Flag提交;

python -f vol.py /root/Desktop/1.vmem --profile=Win7SP1x64 netscan

在这里插入图片描述

5. 恶意进程在系统中注册了服务,请将服务名以Flag{服务名}形式提交。

将进程导出来,然后使用Winhex分析
在这里插入图片描述
在这里插入图片描述

flag{WindowsATE}

在这里插入图片描述

6. 黑客在登录系统后下载了文件,请将文件内容作为flag提交;

python -f vol.py /root/Desktop/1.vmem --profile=Win7SP1x64 filescan | grep flag

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Maya_Soy
关注
专栏目录
2022年网络安全国赛内存取证WP
旺仔Sec&blog
07-18 2239
2022年网络安全国赛内存取证WP
计算机取证Winhex取证
04-01
关于计算机取证以及数据恢复方面 又助与初步了解这方面知识
WinHex取证资料详解
02-13
Windows版的数据恢复软件,X-Ways Forensics已经广为应用。我们经常把它称之为WinHex,不过也没有错,它们是德国X-Ways公司的姊妹产品,适用面稍有区别。X-Ways Forensics主要用于电子数据分析与处理,本身可以独立使用,功能很强,做数据恢复只是它的一小部分功能。大家常见的WinHex总体上有个人版、专业版、专家版和法证版几个不同版本。WinHex 法证版实际就是X-Ways Forensics,但也稍有区别:除了法政版,都可以进行磁盘编辑及修改,而后者禁止对磁盘进行任何编辑和修改,用于保持数据的原始性和完整性。Winhex专家版去除了一些计算机法证特殊功能,是进行数据恢复工作的理想版本。WinHex个人版和专业版功能限制较多,但对于普通的磁盘编辑、数据恢复也基本够用了。德国X-Ways公司在国有代理商,所销售的软件当前最新版本是14.3多国语言版。但目前仅有WinHex专家版和X-Ways Forensics两个版本具有文界面,WinHex个人版和专业版没有文界面,英文试用版可从 www.winhex.com下载。网络上能够找到的汉化版不是X-Ways公司发行的文版,其高版本的汉化有些敷衍充数,文很不准确。
第46届金砖国家世界技能大赛 内存取证样题一
最新发布
lpppp小公主的博客
08-13 916
第46届金砖国家世界技能大赛 内存取证样题一
windows内存取证-简单
weixin_48421613的博客
11-08 482
作为 Security Blue 团队的成员,您的任务是使用 Redline 和 Volatility 工具分析内存转储。您的目标是跟踪攻击者在受感染计算机上采取的步骤,并确定他们如何设法绕过网络入侵检测系统“NIDS”。您的调查将涉及识别攻击使用的特定恶意软件系列及其特征。此外,您的任务是识别和缓解攻击者留下的任何痕迹或足迹。
内存分析工具(winhex)
08-12
用于分析内存的数据,也可以分析磁盘的文件,当用于分析内存时,可用于一部分软件注册码的破解。
windows没有磁盘_Windows硬盘和内存镜像取证
weixin_39959569的博客
11-28 372
Windows硬盘和内存镜像取证 在Windows系统上,有winhex等神器,可以对本地硬盘和物理内存完成镜像取证等工作,但如何对远程的Windows系统的硬盘和物理内存数据进行集的镜像取证呢?除了在本地镜像为文件外,本文将介绍一种方法,将更方便的完成远程Windows硬盘和物理内存的数据镜像取证。 准备工作一台被镜像取证的电脑运行的Windows系统一台要被镜像取证的电脑运行的Windows...
【2023年全国职业技能大赛“信息安全与评估”赛项】任务4-Linux内存取证WP+靶场环境
04-20
【2023年全国职业技能大赛“信息安全与评估”赛项】聚焦了网络安全领域的核心技能,其任务4重点探讨了Linux内存取证这一关键环节。在现代网络安全领域,内存取证是解决高级持续性威胁(APT)和其他复杂攻击的关键...
[ctf misc][wp]一些内存取证wp(含[2021蓝帽杯北部赛区分区赛]博人的文件)
ShenZ的博客
07-20 5087
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 volatility.exe -f C:\Users\shen\Downloads\mem.raw --profile=Win7SP1x86_23418 pslist > pslist.txt 从后向前看,最后是内存镜像固定用的dumpit软件和windows运行后台的exe,再上面有三个进程值得注意
单机取证-全国职业技能大赛-信息安全管理与评估-2022年国赛真题-环境+wp超详细解答
01-05
数据获取阶段,通常会使用到硬盘克隆、内存抓取等技术,确保原始数据不受影响。证据分析则涉及文件系统分析、注册表检查、网络活动追踪等,通过专业工具如EnCase、FTK Imager等进行深入挖掘。最后,整理分析结果,...
溯源取证 - windows内存取证 -
weixin_48421613的博客
06-07 2551
此篇文章,我们将学习windows内存取证技巧,包括学习windows内存取证常用目录文件、使用到的取证工具,技巧;
二进制打开工具
10-19
在window上面打开二进制文件,可以看到Java的编译之后的 东东
职网络安全隐写术应用
12-19
文章地址https://blog.csdn.net/qq_45894840/article/details/124423375 免费下载
linux 镜像_Linux硬盘和内存镜像取证
weixin_39785400的博客
11-28 377
Linux硬盘和内存镜像取证 在Windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将Linux系统硬盘和内存镜像数据给winhex等进行分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成该工作。 准备工作一台被镜像取证的电脑运行的Linux系统一台电脑运行的Windows系统两台电脑要能通过网络通信,并且最好是有线千M网络,因为Linux系统的硬盘...
网络安全B模块(笔记详解)- 内存取证
weixin_57536426的博客
01-23 637
1.从内存文件获取用户admin的密码并破解,将该密码作为flag值提交(密码长度为6个字符);2.获取内存文件系统的IP地址,将IP地址作为flag值提交;3.获取内存文件系统的主机,将主机作为flag值提交;4.内存文件的系统存在挖矿进程,将矿池的IP地址作为flag值提交;5.内存文件的系统恶意进程在系统注册了服务,请将服务称作为flag值提交
第46届金砖国家世界技能大赛湖北省选拔赛 内存取证样题一
weixin_54517170的博客
08-02 716
内存取证类题
内存取证(详细解析)
weixin_51957047的博客
04-16 581
Volatility -f /dev/nbd0 --profile=Win7SP1x64 iehistory 查看ie记录。1.从内存获取到用户admin的密码并且破解密码,以flag{admin,password}形式提交(密码为6位);4.当前系统存在挖矿进程,请获取指向的矿池地址,以flag{ip:端口}形式提交;2.获取当前系统ip地址及主机,以flag{ip:主机}形式提交;5.恶意进程在系统注册了服务,请将服务以flag{服务}形式提交。对/dev/nbd0进行分析。
金砖技能大赛-应急响应-内存镜像分析-进程分析
WEB渗透测试 从入门到萌新
09-30 4931
作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。 应急响应阶段题目主要包含:Windows 内存镜像分析,Linux 内存镜像分析, 磁盘文件恢复,恶意程序分析等内容。
2024年山东省网络安全Web20200529隐藏信息探索
依旧是寻觅
12-21 588
换环境有问题可以私信加q 通过本地PC渗透测试平台Kali服务器场景Server2007的网站进行访问,找到登录界面的FLAG,并将FLAG提交;通过本地PC渗透测试平台Kali服务器场景Server2007的网站进行访问,在登录界面登录,登录成功后在成功的界面找到FLAG并提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值