ctf 内存取证的一些命令

最新推荐文章于 2024-09-05 03:15:24 发布
最新推荐文章于 2024-09-05 03:15:24 发布
阅读量8.3k 收藏 48
点赞数 3
分类专栏: ctf 文章标签: ctf内存取证相关命令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yu_csdnstory/article/details/103030570
版权
本文介绍了如何在CTF比赛中通过内存取证来寻找关键信息。利用Kali Linux中的Volatility工具,以men.raw文件为例,展示了如何查看系统信息、运行程序列表、查找特定文件、提取文件、查看CMD执行的文件以及获取网络连接和账户密码等操作。在实践中,通过grep过滤找到txt文件,使用Volatility提取进程中的文件,并利用foremost进一步解析流量包以寻找flag。
摘要由CSDN通过智能技术生成

内存取证

相当于给出镜像文件,一般为.raw文件,在这些文件中找出相应的文件

常用命令
在kali下用工具volatility,以湖湘杯的文件men.raw为例

  1. 查看系统信息
    volatility -f mem.raw imageinfo

    如下显示的系统都有可能,可以一个个的试试

  2. 查看运行程序列表
    volatility -f mem.raw --profile=Win7SP1x64 pslist

  3. 查看文件
    volatility -f mem.raw --profile=Win7SP1x64 filescan

    一般文件会很多,不易查看,用grep命令过滤
    volatility -f mem.raw --profile=Win7SP1x64 filescan |grep txt

最低0.47元/天 解锁文章
舞动的獾
关注
专栏目录
ctf php 读取flag,ctf题:pinstore获取flag
weixin_42304618的博客
03-11 1926
首先先用jadx反编译出源代码,可以看到目录结构 从这里就可以知道我们只需查看pinlock.ctf.pinlock.com.pinstore目录下的代码即可先从MainActivity看起 从源代码我们可以知道pinFormDB是数据库中存储的密码、hashOfEnteredPin属于我们输入的密码加密后的密文,在这里我们可以修改if的判断条件接下来通过apktool工具对apk文件进行反编译得...
Volatility 内存取证【信安比赛快速入门】
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
06-26 880
一般取第一个就可以了。
渗透测试内存取证
Zgnb173659的博客
08-05 1329
内存取证是指通过分析计算机系统的内存(RAM)来获取有关系统运行状态、用户活动和执行过程的信息。内存取证通常用于数字取证领域,旨在收集关键的计算机数据,以便分析和研究可能发生的安全事件、恶意软件活动或其他计算机相关事件。
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
最新发布
2401_86436851的博客
09-05 1182
首先,分析VMEM文件整体信息然后, 通过 lsadump 查看内存中密码凭据的明文缓存数据,得到flag。
CTF-朴实无华的内存取证
qq_43611848的博客
01-11 4878
题目描述 链接:https://pan.baidu.com/s/1dC4reO8opHQ3yZ8PdtD_AQ 提取码:lzsa 解题过程: 1.下载文件1.raw,放到kali里。 2.volatility -f 1.raw imageinfo 2.尝试第一个profile类型,查看进程 volatility -f 1.raw pslist --profile=WinXPSP2x86 3.grep过滤flag关键字试试 volatility -f 1.raw --profile=WinXPSP2x86
CTF取证总结(内存取证,磁盘取证)以及例题复现
Love&Share
09-20 3万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
一文讲述内存取证的数据保存、数据分析、CTF实战案例
qq_53058639的博客
10-05 253
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
CTF内存取证入坑指南!稳!题目
03-28
Volatility是一款开源的内存取证框架,广泛应用于CTF(Capture The Flag)竞赛和实际的网络安全事件响应中。它支持多种操作系统,包括Windows、Linux、Mac OS等,提供了丰富的命令来提取和解析内存映像中的信息。...
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证。 Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
CTF 内存取证 USB流量分析
MOLLMY的专栏
09-09 6758
护网杯2019预选赛第二题 内存取证弟弟题???? 题目名叫: Baby_forensic 题目附件地址 目录 Baby_forensic 知识点: 内存取证工具volatility 的使用: 取证方法建议 Keyboard scan code: 解题过程: 1. Kali中解压文件 2. pslist查看进程 3. 通过cmdscan[孙2]提取命令历史记录,结果如下 ...
ctf内存取证----easy_dump
MOLLMY的专栏
09-15 3018
前一段时间又做了去年护网杯的内存取证题 第一次不参考任何wp提示,自己做,没想到做得挺顺利 Easy_dump writeup 解题步骤 Step 1 Volatility imageinfo 得知系统为Win7SP1x64 Setp 2 查看进程列表 查看命令行历史 没有什么发现 Step 3 执行netscan、iehisto...
BMZCTF内存取证三项
末初的CSDN博客
01-23 2213
发现个压缩包,使用文件扫描尝试找出这个文件在内存的位置。,压缩包密码是生日数字,而生日数字应该是。将内存镜像文件解压出来,改名为。所以掩码直接爆破八位纯数字即可。
volatility内存取证----命令演示
热门推荐
Battery的博客
05-11 13万+
介绍:取证题在ctf中占比越来越大,作为新入ctf的我来说,打的几场ctf几乎每次都有取证题,之前的比赛也都是无可奈何,终于沉下心认真复现了一道题目。 volatility的安装 以前的老版本kali有自带的volatility,所以能够直接使用,但是现在的版本基本上都需要自己下载安装了,主要是依赖于python环境安装,需要一些库,建议使用python3 下载链接:https://www.volatilityfoundation.org/releases 下载好之后直接到根目录直接运行vol.py
攻防世界 Misc高手进阶区 5分题 latlong
闵行小鱼塘
12-18 1172
继续ctf的旅程,攻防世界Misc高手进阶区的5分题,本篇是latlong的writeup
CTF简单笔记
bmovo的博客
10-06 1737
CTF简单笔记: 远程开启kali桌面命令:sudo /etc/init.d/xrdp start CTF:①Misc:杂项 ②Crypto:密码安全 ③Web安全 ④Reverse:逆向工程 ⑤Pwn #杂项: 1、文件操作与隐写 2、图片隐写术 3、压缩文件处理 4、流量取证技术 1、文件操作与隐写 #命令就是一个对应的工具,只是这个工具没有对应的图形化界面而已 (1)、Fi...
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 2826
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
ctf之bsp文件分享
10-02
ctf之bsp文件分享是一种常见的技术手段,用于在计算机安全领域进行攻击和渗透测试。它的原理是将恶意代码隐藏在一个看似正常的文件中,如图片、文档等,利用文件的解析漏洞或执行特定操作后,执行恶意代码实现攻击目标。具体步骤如下: 1. 首先,选择一个恶意代码(例如木马程序)和一个合法文件(如图片、文档)。 2. 将恶意代码和合法文件用压缩软件(如WinRAR)打包成RAR文件。 3. 将RAR文件的后缀名改为exe,以便在执行时被误认为是可执行文件。 4. 将生成的exe文件发送给目标用户。 5. 当目标用户双击exe文件时,会自动解压并运行其中的恶意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值