CTF取证

最新推荐文章于 2024-04-10 22:16:16 发布
最新推荐文章于 2024-04-10 22:16:16 发布
阅读量1.1k 收藏 3
点赞数 1
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/S_cx666/article/details/122590877
版权

内存取证

经常利用volatility分析

取证文件后缀 .raw、.vmem、.img
常用命令(imageinfo,pslist,dumpfiles,memdump)
可疑的进程(notepad,cmd)
和磁盘取证结合起来考察
了解部分操作系统原理
常见文件后缀dmg,img

volatility基础命令

python vol.py -f [image] ‐-profile=[profile][plugin] 命令

其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系统版本, [plugin] 是指使用的插件,其中默认存在一些插件,另外还可以自己下载一些插件扩充
python vol.py -f [image] ‐-profile=[profile][plugin] 命令

其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系统版本, [plugin] 是指使用的插件,其中默认存在一些插件,另外还可以自己下载一些插件扩充

可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令

imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一参数

pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以

pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程

psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
最低0.47元/天 解锁文章
Major0712
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-数字取证合集
admin的博客
11-27 6980
本题来自moectf的easyForensics。 下面是题目链接: https://masternoah.lanzoui.com/iFXVfsy5o3e 一、首先下载软件X-ways Forensics 我们可以了解一下e01文件的文件类型。参照下面这篇文章。一句话来讲就是e01就是一个计算机某一时刻全部操作的证据文件。 封装E01文件格式说明 — 磁盘映像取证 (forensicsware.com) 二、打开文件 文件打开后是这个样子: 然后点击这个按钮,就可...
✿WMCTF2021✿Flag Thief WP 及以后可能会碰到的取证知识点
Tokeii想躺平
08-31 1182
Flag Thief WP 用DG,FTK,取证大师均可挂载该附件 这里DG无法直接挂载(需要e01转dd),这里用取证大师进行讲解 根据Hint:曾远程过其他电脑,可以判断磁盘中有远程的相关痕迹 常见的远程痕迹有: 1.经典的default.rdp文件 2.注册表搜索Terminal Server Client 3.BMC 文件位置:…\AppData\Local\Microsoft\Terminal Server Client\Cache 4.Credentials 位置:…\AppData\Local
取证小wp
最新发布
iwlmo的博客
04-10 409
CertUtil [选项] -hashfile 文件路径 哈希算法。我是直接在虚拟机中求的sha256值,可以去网上下一个7z。我这里是把模拟器拖到了虚拟机桌面上,所以路径改为C盘了。在文件中先打开测试环境,就能找到需要求的测试模拟器了。在桌面有个广告,里面有张照片,可以直接看到网址。在火眼软件中可以直接算出来sha-256值。在镜像仿真出来以后,密码直接就出来了。点开详细信息也可以看到局域网信息。第二种办法是用本机自带工具。可以看到向日葵远程协助。可以看到他的公网ip。
CTF-MISC取证专项练习(更新ing)
qq_52820087的博客
10-13 2422
CTF-MISC取证专项练习
[墨者学院] Windows硬盘文件分析取证(新建的用户名)
0of_blog
05-30 1669
题目 题解 他给了一个百度云链接,下载解压后是一个E01文件 先看一眼文件格式 在这里,我们使用accessDate这个工具挂载image 挂载到文件系统,进入E盘,先把隐藏的项目勾上 然后就能看到隐藏的Application Data了 看到用户头像,有那么几个 lihua是一只都存在的,Users目录就看到了lihua这个目录,应该是使用过。而没有momo目录,说明应该是新建的。 最后答案就是momo了 ...
瓜大NPUCTF-Misc、Crypto Write Up
阿鱼的小世界
04-29 5054
参考的wp链接 官方wp:https://github.com/sqxssss/NPUCTF_WriteUps 大佬们的wp:https://l1near.top/index.php/2020/04/20/33.html Ga1@xy博客wp Misc Misc题目下载地址:自用蓝奏云 or BUUCTF HappyCheckInVerification(黑人抬棺) 下载附件为一个z...
关于CTF中的取证分析
weixin_46661122的博客
12-05 4371
什么是计算机取证? 计算机取证(Computer Forensics,又名计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即:获取、保存、分析、出示、提供的证据必须可信
CTF取证总结(内存取证,磁盘取证)以及例题复现
热门推荐
Love&Share
09-20 2万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
CTF-朴实无华的内存取证
qq_43611848的博客
01-11 4515
题目描述 链接:https://pan.baidu.com/s/1dC4reO8opHQ3yZ8PdtD_AQ 提取码:lzsa 解题过程: 1.下载文件1.raw,放到kali里。 2.volatility -f 1.raw imageinfo 2.尝试第一个profile类型,查看进程 volatility -f 1.raw pslist --profile=WinXPSP2x86 3.grep过滤flag关键字试试 volatility -f 1.raw --profile=WinXPSP2x86
2022春秋杯-被带走的机密文件
一位热爱网安的年轻人的博客
05-25 810
Misc-被带走的机密文件 正经取证题,没有任何套娃成分,请师傅们放心食用。(附件较大。) 题目给了一个E01镜像 使用取证大师(也有不使用的方法,并且并不是完全依靠取证大师)打开自动取证先简单进行信息线索的收集 线索收集 找到了烟雾弹.zip压缩文件,压缩文件备注 密码是计算机全名 在系统信息找到了完整计算机名 解压文件,一张图片:这真的是烟雾弹 机密文件我已经带走了。 谷歌浏览器历史记录中发现搜索最多的是 open SHD file 知识点:SHD是由Windows创建的文件,当用户提交
CTF取证类题目指南
01-09
CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是密码类赛题)。 取证作为CTF中的一大类题目,不完全包括安全产业中的实际工作,常见的与之相关的工作是事故相应。但即使在事故响应工作中,计算机取证也经常是执法部门获取证据数据和证物的工作,而非对防御攻击者或恢复系统感兴趣的商业事故相应企业。
CTF工具之auditor计算安全检测取证系统.rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
CTF取证类题目指南1.pdf
03-13
CTF 中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。 任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取 隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被...
ctf取证实战课件(入门级PPT版).rar
12-19
ctf取证实战课件(入门级PPT版).rar
CTF内存取证入坑指南!稳!题目
03-28
内存取证类,了解到了一款牛逼的工具——Volatility,
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
DEFCON 20 CTF 磁盘取证分析题目
蚁景网安学院
04-08 2447
这是一道取证分析题目,主要考察取证分析能力,包括磁盘文件恢复、图片文件修复、数据分析、图片隐写信息提取等。 本次实验题目地址:《DEFCON 20 CTF Quals Forensic 200》。 题目提供了一个disk.img文件,我们首先可以尝试使用DiskGenius来查看其中的文件。打开DiskGenius_4.3.exe,依次选择“硬盘”、“打开虚拟硬盘文件”菜单项,如下图所示: 使用DiskGenius打开C:\CTF\DiskForensics\4\disk.img文件之后,可以看到在磁盘的
溯源取证-Chromebook数字取证 基础篇
weixin_48421613的博客
04-05 738
此次主要学习如何检查chromebook系统
CTF forensics
09-24
CTF forensics (计算机取证)是指在CTF比赛中,通过分析计算机系统的日志、文件、网络流量等信息来寻找和还原黑客入侵的痕迹,并获得相关的证据。计算机取证是一个涉及到计算机辨析技术的过程,旨在确认罪犯及计算机...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值