内存取证_CTF

最新推荐文章于 2024-06-23 00:55:24 发布
最新推荐文章于 2024-06-23 00:55:24 发布
阅读量2.4k 收藏 8
点赞数 2
分类专栏: CTF 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1912993110/article/details/120301948
版权

内存取证

1.获取内存镜像信息,获取系统版本

	volatility -f 1.raw imageinfo

在这里插入图片描述
2. 查看进程信息

volatility -f 1.raw --profile=WinXPSP2x86 pslist

在这里插入图片描述
留意可疑进程例如:cmd.exe(控制台) notepad.exe(记事本) StikyNot.exe(便笺) wab.exe (Windows联系人)

3.查看cmd.exe的使用情况

volatility -f 1.raw --profile=WinXPSP2x86 cmdscan

在这里插入图片描述

4.查看notepad.exe中的內容

volatility notepad -f 1.raw pslist --profile=WinXPSP2x86

5.提取可疑进程

volatility -f 1.raw --profile=Win7SP0x86 memdump -p 252 -D ./


	 1. --profile 的参数为系统版本
	 2. -p 的参数为进程ID
	 3. -D 的参数为保存文件路径

进程里面可能会隐藏flag等关键信息,可以使用以下命令检索.dmp文件

strings -e l 252.dmp | grep flag

6.扫描内存中的关键文件

volatility -f 1.raw --profile=WinXPSP2x86 filescan | grep 'P@ssW0rd_is_y0ur_bir7hd4y.zip'

7.导出文件

volatility -f 1.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000002c61318 -D ./

	 1. -Q的参数为内存地址
	 3. -D的参数为保存文件路径

8.列举用户及密码

volatility -f 1.raw --profile=WinXPSP2x86 hashdump

在这里插入图片描述
或者使用passware kit forensic工具,一把梭
在这里插入图片描述

总结

近期通过CTF比赛对内存取证的一些认识

此笙
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF内存取证入坑指南!稳!题目
03-28
Volatility是一款开源的内存取证框架,广泛应用于CTF(Capture The Flag)竞赛和实际的网络安全事件响应中。它支持多种操作系统,包括Windows、Linux、Mac OS等,提供了丰富的命令来提取和解析内存映像中的信息。...
CTF取证类题目指南
01-09
在CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是...
【CTF整理】电子取证之Easy_dump(18护网杯)
SunnyCat
06-18 7005
目录电子取证之Easy_dump(18护网杯)资源和连接正文:0x010x020x030x040x050x060x070x080x090x100x110x12总结: 电子取证之Easy_dump(18护网杯) 资源和连接 原题资源:https://pan.baidu.com/s/1z73M2MRr6W6AfM57lomF-w 提取码:1tf5 声明:本题的解法众多,我在重温这道题的时候也是借鉴了很多大佬的文章,但是本篇文章的内容都是自己所做所写,仅供大家技术交流。 参考链接: 2018护网杯——easy_d
OtterCTF—内存取证wp
m0_66638011的博客
05-09 5021
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
CTF-蓝帽杯 2022 初赛Misc计算机取证题目详解
最新发布
m0_62574258的博客
06-23 885
使用工具:Volatility、Passware Kit、Arsenal Image Mounter、DiskGenius题目文件如下:首先要知道这些文件是什么:dmp后缀指Dump文件,是windows系统中的错误转储文件。包含计算机程序运行时的内存信息的文件。通常操作系统或应用程序在遇到系统崩溃、死机或其他严重错误时,会自动将程序运行环境的所有信息导出到一个.dmp文件中。所以可以利用该文件帮助程序员诊断程序运行过程中的错误,还可以获取账户、密码等敏感信息。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
OtterCTF 内存取证
weixin_51804748的博客
05-15 2828
最近小小的学习了一下内存取证,装环境搞了整整一天,非常麻烦,在阅读相关资料时偶然看到了一篇WriteUp,是关于OtterCTF2018的十三道内存取证题目,用的全部是同一个镜像,考察的知识点非常全面,可以用来熟悉一下volatility的使用,关键是比赛平台居然还开着,正好当作内存取证的一次入门学习 OtterCTF 1 - What the password? ┌──(root㉿kali2022)-[~] └─# vol.py -f /root/桌面/OtterCTF.vmem imageinfo
CTF取证总结(内存取证,磁盘取证)以及例题复现
Love&Share
09-20 2万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
CTF中文件包含的一些技巧
dfdhxb995397的博客
10-16 1346
i春秋作家:lem0n 原文来自:浅谈内存取证 0x00 前言 网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证...
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证。 Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
OtterCTF的Memory Forensics内存取证文件
12-09
4. **恶意软件检测**: 在CTF比赛中,内存取证常用于寻找隐藏的恶意活动。通过分析内存,参赛者可以发现未在磁盘上留下痕迹的临时文件、网络通信模式、异常进程行为等,这些都是恶意软件可能的迹象。 5. **数据恢复*...
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型
Ba1_Ma0的博客
03-16 5185
本篇文章演示的插件已经可以做绝大部分题目了,之后就多在buuctf或者ctfshow等线上ctf平台刷题,积累经验。
一文讲述内存取证的数据保存、数据分析、CTF实战案例
m0_59598029的博客
09-10 219
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
OtterCTF 内存取证(10-13)
volcano的博客
08-05 2477
10 - Bit 4 Bit We’ve found out that the malware is a ransomware. Find the attacker’s bitcoin address. 先把恶意文件给dump出来 python vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -p 3720 -D ./ 11 - Graphic’s For The Weak There’s something fishy in the ma
OtterCTF---Memory Forensics内存取证(1-13)
m0_65712192的博客
05-09 1634
OtterCTF 内存取证(1-13)
CTF之misc-内存分析(Volatility)
热门推荐
Battery的博客
05-04 12万+
Volatility 简介: Volatility是一款开源的,基于Python开发的内存取证工具集,可以分析内存 中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、 Android操作系统的RAM数据进行提取与分析。(高等级版本kali现需要自己下载Volatility,依赖于python环境安装)volatility 使用: 开始准备: volatility -f <文件名>–profile= <配置文件><插件>[插件.
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(1)
2401_84164546的博客
04-09 1153
外链图片转存中…(img-JVaus8t7-1712651733217)][外链图片转存中…(img-ySbwc2UR-1712651733218)][外链图片转存中…(img-5zde9ygl-1712651733218)][外链图片转存中…(img-UTFdPwKF-1712651733219)][外链图片转存中…(img-T1up9liY-1712651733219)][外链图片转存中…(img-0707naut-1712651733219)]
welcome_CAT_CTF
07-28
根据引用\[1\]中的描述,"welcome_CAT_CTF"是一个题目中的关键点,通过控制@的移动和输入j来增加猫币,当猫币大于100000000时可以获得flag。而根据引用\[2\]中的描述,flag可能隐藏在osu游戏的谱面中,需要打开osz文件进行查看。另外,引用\[3\]中提到了一个流量包的解压密码是伪加密的,可以通过修改文件来正常解压。综合这些信息,我无法直接回答"welcome_CAT_CTF"的具体含义或解法,因为缺少相关的引用内容。请提供更多的引用内容或提供更具体的问题,我将尽力帮助您。 #### 引用[.reference_title] - *1* [【nepnep&cat ctf】welcome_CAT_CTF](https://blog.csdn.net/qq_42220888/article/details/128531498)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [NepCTF2022 WP](https://blog.csdn.net/not_code_god/article/details/125883979)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值