内存取证与USB流量分析总结

最新推荐文章于 2024-08-27 20:53:01 发布
最新推荐文章于 2024-08-27 20:53:01 发布
阅读量1.7k 收藏 5
点赞数
分类专栏: CTF 文章标签: linux 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blue_fantasy/article/details/122395798
版权
本文总结了CTF比赛中的内存取证和USB流量分析经验,涉及Volatility工具的使用,包括镜像信息提取、进程扫描、文件探测与提取等步骤。同时介绍了USB流量分析,通过Wireshark和tshark提取关键数据,并展示了如何解析USB数据以获取隐藏信息。内容还涵盖了网络安全与执法专业比赛中的希尔密码解密方法。
摘要由CSDN通过智能技术生成

0x00 前言

本文对我曾接触到过的CTF中的内存取证类题目与USB流量分析类题目进行一个总结类梳理。其中kali里集成了取证神器volatility与流量分析神器tshark

0x01 Volatility

第一步提取内容镜像信息

常用命令volatility -f <xxx.vmem>(或xx.raw) imageinfo

使用imageinfo插件获取到基本信息,特别是内存数据是什么操作系统下生成的,这点尤为重要 (如图的WinXPSP2x86) 因为在接下来每一步都要命令“–profile”指定操作系统的属性。

第二步列取文件中曾使用的进程信息

常用命令: pslist/pstree/psscan

1)pslist无法显示隐藏/终止进程。
2)解决这个问题的插件是psscan,这个插件输出的内容会比pslist多得多。(所以全面信息获取用psscan)
3)pstree同样也是扫描进程的,但是是以进程树的形式出现的。

同时可以搭配grep命令进行对可疑进程(cmd.exe、notepad.exe等)的快速筛选

第三步根据进程中使用的工具对应查看

常用命令:cmdscan notepad

cmdscan 可以用来查看受害者系统上攻击者操作的最强大的命令之一,无论他们是否打开c

最低0.47元/天 解锁文章
blue_fantasy
关注
专栏目录
USB流量取证分析
Lemon's blog
09-22 5804
0x00:什么是USBUSB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的传输内容等一系列信息。 0x01:USB使用的三种方式 USB UART UART,这种方式下,设备只是简单的将 USB 用于接受和发射数据,除此之外就再没有,其他通讯功能了。 USB HID HID 是人性化的接口。这
USB流量分析
qq_38680693的博客
11-20 5416
1. USB接口简介通过监听USB接口流量,可获取键盘击键,鼠标移动与点击,存储设备的明文传输通信,USB无线网卡网络传输内容等。2. 题目wireshark打开数据包后发现为usb协议 USB协议数据部分在Leftover Capture Data域中,使用tshark命令将其单独提取出来tshark -r udn.pcapng -T fields -e usb.capdata > us
第二届网刃杯MISC不要相信你所看到的-WP(volatility的使用)
cottonrose的博客
05-06 275
第二届网刃杯misc—不要相信你所看到的-wp(内存取证流量分析volatility的使用)
攻防世界——m0_01
最新发布
weixin_63120327的博客
08-27 698
原著大佬:https://blog.csdn.net/LYJ20010728/article/details/120295878。如果提取出来的数据有空行可以将命令改为如下形式。我也是第一次遇到,所以看了一下其他大佬的文章。只有01248,是云影密码,继续用大佬的脚本。用Wireshark打开。USB协议的数据部分在。就可以拿到脚本运行了。运行一下得出flag。
misc——流量分析usb(2)
2301_81864699的博客
06-19 1093
usb协议数据部分数据长度为8个字节,其中击键信息集中在第三个字节思路:在Linux中使用tshark命令把cap data提取出来,根据《usb键盘协议中键码》中的HID Usage ID将数据还原为键跑脚本(先将每个字节以冒号分割,方便提取)
CTF 内存取证 USB流量分析
MOLLMY的专栏
09-09 6880
护网杯2019预选赛第二题 内存取证弟弟题???? 题目名叫: Baby_forensic 题目附件地址 目录 Baby_forensic 知识点: 内存取证工具volatility 的使用: 取证方法建议 Keyboard scan code: 解题过程: 1. Kali中解压文件 2. pslist查看进程 3. 通过cmdscan[孙2]提取命令历史记录,结果如下 ...
内存取证&USB流量分析 —— 【高校战“疫”】ez_mem&usb
Ve99tr’s Blog
03-09 1496
高校战“疫” MISC内存取证以及usb流量分析 —— ez_men&usb
Parrot OS取证工具实战指南:数据恢复与分析技巧全解
[Parrot OS取证工具实战指南:数据恢复与分析技巧全解](https://mattcasmith.net/wp-content/uploads/2021/04/deletedfile_ftk.png) # 1. Parrot OS的基本概述与安装 ## 1.1 Parrot OS简介 Parrot Security OS,...
取证工具使用手册:Kali Linux中数字证据的收集与分析
[取证工具使用手册:Kali Linux中数字证据的收集与分析](https://opengraph.githubassets.com/956fc2f58e3b1a8742f16ed8ea946ff814bd2b96e58a3bbc6d0a7a36eddbd4ec/sleuthkit/sleuthkit) # 1. 取证工具的基本原理和...
UsbKeyboardDataHacker:USB键盘流量包取证工具 , 用于恢复用户的击键信息
05-11
用法 Usage : python UsbKeyboardHacker.py data.pcap Tips : To use this python script , you must install the tshark first. You can use `sudo apt-get install tshark` to install it Author : WangYihang If you have any questions , please contact me by email. Thank you for using. 例子 第一步:获取数据 sun@ubuntu:~/UsbKeyboardDataHacker$ tsha
USB痕迹取证(windows)
01-11
USB痕迹取证(windows),收集电脑USB插拔痕迹,内容信息全面!手工取证分析必备!
knm-master提取usb流量脚本
01-18
knm-master提取usb流量脚本,数据包提取usb流量python脚本
2021-10-12T15_49_10.808949+00_00usb流量分析.zip
10-21
CTF附件题——usb流量分析 USB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规 范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。 通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的 传输内容等一系列信息。
hid键盘报告格式
a65135793的博客
05-11 5129
BYTE1 -- 特殊按键        |--bit0:   Left Control是否按下,按下为1          |--bit1:   Left Shift  是否按下,按下为1          |--bit2:   Left Alt    是否按下,按下为1          |--bit3:   Left GUI(Windows键) 是否按下,按下为1          |--b...
CTF(misc) USB流量截取(键盘)
m0_59197314的博客
07-26 815
解压文件后获得一个flag.pcap流量包,用wireshark打开,右键红圈部分选择应用为列出现相关数据。使用脚本提取出对应的键盘字母,最终获得flag,注意下格式改下大小写。使用tshark工具将所需信息保存到usbdata.txt文件中。将文件用脚本分隔,获得out.txt文件。
USB流量
chenran0111的博客
12-26 776
usb键盘流量的数据在上面会有提到每个按键对应的数据,一般来说,只需要看第一列和第三列即可,第一列代表的是按键,第三列是按键对用的数据。一般来说,分析键盘流量最重要的就在第三个字节,第三个字节是哪个十六进制数,你就可以直接找十六进制对应的信息即可。那么第三个字节是1B,就去找1B对应的信息,发现是字母x,所以按下的是shift键和字母x键。按下为1,第一字节一共是八位二进制数组成的一个十六进制数,所以,从右到左一共八个零。第一字节代表按键:00,代表没有按键。如上图,这是键盘流量八个字节中的第一个字节。
2020天津市ctf大赛之usb数据包流量分析
weixin_44145452的博客
10-05 4611
1.鼠标流量分析 1.常用命令 tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt 如果提取出来的数据有空行,可以将命令改为如下形式: tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt 如果提取出来的数据没有冒号,可以用脚本来加上冒号(因为一般的脚本都会按照有冒号的数据来识别,有冒号时提取数据的[6:8],“无冒号时数据在[5:
内存取证Lab5教程与MemoryDump文件分析
总结来说,MemLabs-Lab5是信息安全领域中,特别是内存取证方向的一个实践练习,它要求参与者能够运用专业的内存分析工具进行实际的数据提取和分析工作,以此提升在信息安全管理与评估方面的能力。通过解决这样的实际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值