CTF取证

最新推荐文章于 2024-05-07 22:15:01 发布
最新推荐文章于 2024-05-07 22:15:01 发布
阅读量1.1k 收藏 3
点赞数 1
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/S_cx666/article/details/122590877
版权
本文介绍了如何使用Volatility工具进行内存和磁盘取证,包括基础命令的使用,如通过-python vol.py -f [image] --profile=[profile][plugin]进行分析,并提到了磁盘取证中的文件恢复、加密磁盘挂载、查找特定文件类型等操作。通过案例展示了从VMDK文件中提取信息,以及使用veracrypt挂载加密磁盘并解析隐藏内容的过程。
摘要由CSDN通过智能技术生成

内存取证

经常利用volatility分析

取证文件后缀 .raw、.vmem、.img
常用命令(imageinfo,pslist,dumpfiles,memdump)
可疑的进程(notepad,cmd)
和磁盘取证结合起来考察
了解部分操作系统原理
常见文件后缀dmg,img

volatility基础命令

python vol.py -f [image] ‐-profile=[profile][plugin] 命令

其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系统版本, [plugin] 是指使用的插件,其中默认存在一些插件,另外还可以自己下载一些插件扩充
python vol.py -f [image] ‐-profile=[profile][plugin] 命令

其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系统版本, [plugin] 是指使用的插件,其中默认存在一些插件,另外还可以自己下载一些插件扩充

可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令

imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一参数

pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以

pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程

psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
最低0.47元/天 解锁文章
Major0712
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-Windows硬盘文件分析取证(访问的网站地址)
asd158923328的博客
08-22 1317
根据题意 进入环境,下载文件,用AccessData FTK Imager挂载 依次打开([root]>Documents and Settings>lihua>Local Settings>History>History.IE5>MSHist012018110120181102>index.dat,index.dat是一个由Internet Explo...
CTF取证类题目指南
01-09
CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是密码类赛题)。 取证作为CTF中的一大类题目,不完全包括安全产业中的实际工作,常见的与之相关的工作是事故相应。但即使在事故响应工作中,计算机取证也经常是执法部门获取证据数据和证物的工作,而非对防御攻击者或恢复系统感兴趣的商业事故相应企业。
CTF取证总结(内存取证,磁盘取证)以及例题复现
热门推荐
Love&Share
09-20 2万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
关于CTF中的取证分析
weixin_46661122的博客
12-05 4434
什么是计算机取证? 计算机取证(Computer Forensics,又名计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即:获取、保存、分析、出示、提供的证据必须可信
[OtterCTF 2018] 电子取证
qq_61768489的博客
08-14 855
计算机的主机名不可以被直接读取(vol没有模块可以处理),但是注册表内储存了相关信息,那么便可以从注册表中读取到主机名。这个就是flag 好坑, NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}进程里有Rick And Morty ,漂亮国的动画,一定是下这个片儿进来病毒了。已知在登录过程中,账号可能会以明文的形式储存在内存之中,我们便可以利用。恶意软件是如何进入瑞克的电脑的?指令可以打印文件的hexdump信息,故借此筛选特定信息的位置。...
CTF取证类题目指南1.pdf
03-13
CTF 中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。 任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取 隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被...
ctf取证实战课件(入门级PPT版).rar
12-19
ctf取证实战课件(入门级PPT版).rar
CTF内存取证入坑指南!稳!题目
03-28
Volatility是一款开源的内存取证框架,广泛应用于CTF(Capture The Flag)竞赛和实际的网络安全事件响应中。它支持多种操作系统,包括Windows、Linux、Mac OS等,提供了丰富的命令来提取和解析内存映像中的信息。...
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
CTF取证方法大汇总,建议收藏!
caoyongsheng的博客
08-17 3091
站在巨人的肩头才会看见更远的世界,这是一篇来自技术牛人的神总结,运用多年实战经验总结的CTF取证方法,全面细致,通俗易懂,掌握了这个技能定会让你在CTF路上少走很多弯路,不看真的会后悔! 本篇文章大约6千字,阅读时间需20分钟,希望大家耐心看完! 取证CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)中,取证的挑战可能包括文件格式分析,隐写术,内存转储分析或网络数据包捕获分析等。检查和处理静态数据文件,而..
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 2640
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(1)
最新发布
2401_84281638的博客
05-07 965
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
DEFCON 20 CTF 磁盘取证分析题目
蚁景网安学院
04-08 2509
这是一道取证分析题目,主要考察取证分析能力,包括磁盘文件恢复、图片文件修复、数据分析、图片隐写信息提取等。 本次实验题目地址:《DEFCON 20 CTF Quals Forensic 200》。 题目提供了一个disk.img文件,我们首先可以尝试使用DiskGenius来查看其中的文件。打开DiskGenius_4.3.exe,依次选择“硬盘”、“打开虚拟硬盘文件”菜单项,如下图所示: 使用DiskGenius打开C:\CTF\DiskForensics\4\disk.img文件之后,可以看到在磁盘的
CTF中的取证技术
weixin_41684949的博客
04-21 2309
分为两类: 流量分析: Wireshark的基本使用方法 筛选器的使用:对协议版本、IP地址进行过滤。过滤后可以清晰的得到自己想要的信息。 追踪流 文件的导出 日志分析:通过日志分析寻找隐藏在其中的信息 SQL注入点的查找 WEBshell...
CTF-Linux硬盘文件分析取证(MySQL连接密码)
asd158923328的博客
08-22 735
根据题意 进入环境,下载文件,用AccessData FTK Imager挂载 依次打开/root/.ash_history文件,打开.ash.history文件,发现修改密码的操作记录 验证密码后获得key ...
CTF-网络数据分析溯源(发布文章的IP地址)
asd158923328的博客
08-22 763
根据题意 进入环境,下载文件,用wireshark加载 根据两个条件发布一篇文章到www.xwast.org上 提高文章采用的协议是post 检索http.host==“www.xwast.org” && http.request.method == POST即可找到ip 得到IP:172.16.129.49在靶场进行验证,获得key ...
CTF——杂项3.流量取证技术
woo233的博客
09-09 2935
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
CTF取证技术实战,图片、文件、流等相关内容的取证技术
Scalzdp的专栏
10-25 1833
取证技术在我们安全工作中非常重要,我们可以通过已经产生的流量、日志、文件等信息发现安全存在的蛛丝马迹。通过取证技术的应用,安全工作者可以明确系统存在的漏洞,以及都是谁在系统中做了什么事,其价值和意义对个人、企业、国家而言都是非常重要的。
CTF forensics
09-24
CTF forensics (计算机取证)是指在CTF比赛中,通过分析计算机系统的日志、文件、网络流量等信息来寻找和还原黑客入侵的痕迹,并获得相关的证据。计算机取证是一个涉及到计算机辨析技术的过程,旨在确认罪犯及计算机证据,并据此提起诉讼。在CTF forensics中,参赛者需要运用计算机取证技术,使用各种工具和技巧,对给定的场景或问题进行分析和解决。 CTF forensics的目的是还原黑客入侵的痕迹,尽可能获取黑客入侵渗透的证据。这对于打击计算机和网络犯罪非常关键,因为它可以将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。因此,计算机取证被广泛应用于解决各种计算机犯罪和事故,包括网络入侵、知识产权盗用和网络欺骗等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值