Foremost
Foremost是一款简单有效的命令行工具,通过分析文件头部和尾部的信息来恢复文件
启动Foremost
本次使用的镜像来来自于互联网上开源的文件,可从此处下载
http://dftt.sourceforge.net/test11/index.html
在这个例子中我们主要用到的是两个选项,-i用于指定输入的文件,即我们前面下载的文件11-carve-fat.dd,-o用于指定一个空的文件夹,我们将其命名为foremost-recovery。通过foremost进行分析只需输入如下的命令就可以了
foremost -i 11-carve-fat.dd -o foremost-recovery
尽管在处理过程中有些字符是乱码,但是结果已经在我们指定的输出的文件夹中被清楚的总结归类好了,我们打开foremost_recovey输出文件夹查看
我们从上图可以看到被提取出来的文件,按照文件类型分门别类,同时还有个audit.txt,里面包含了分析过程中的详细信息,列出了foremost找到的所有文件件以及他们的文件偏移、大小规模等
可以看到有三个ole的文件,这是我们我们可以去ole子文件夹中查看
我们看到foremost是一个的强大的数据回复和文件提取的工具,文件提取所花的时间取决于源文件的规模,如果已经知道了所需提取文件的大小,可以使用使用-t来指定,然后进行提取,这样速度会更快
比如我们指定只提取jpg
foremost -i 11-carve-fat.dd -t jpg -o foremost-fast
速度更快且生成的文件夹中也只要jpg一个子文件夹,同样有三张图片
Bulk_extractor
在前面的实验中我们可以看到,foremost是比较有效的文件恢复和提取的工具,但是仅限于几种特定的类型,为了进一步的提取数据,我们可以使用Bulk_exetractor
除了foremost能提取的恢复、提取的数据外,Bulk_exetractor还可以提取的数据包括:信用卡号码、邮箱地址、url、网页信息等
这次使用到的文件也是互联网上公开的,可以从这儿下载
http://downloads.digitalcorpora.org/corpora/scenarios/2009-m57-patents/drives-redacted/
在使用Bulk之前,我们可以-h查看帮助说明
这次使用我们从terry-work-usb-2009-12-11.E01中提取信息并将输出保存至bulk_extractor-recovery文件夹
输入如下命令即可
bulk_extractor -o bulk_extractor-recovery terry-work-usb-2009-12-11.E01
在分析工作结束后,bulk会显示所有线程都完成了,并且给出分析过程及提取出的信息的总结。
图中还能看到md5 hash、总共处理的MB,甚至还有3个邮件特征
我们累出输出文件夹中的内容
需要注意的是,不是所有列出来的文件都包含数据。只有在月份左边的那些数字大于0的文件才包含数据
在输出文件夹中可以看到很多独立的txt文件
随便看几个叭
volatility
下面通过护网杯的Easy_dump来学习一下该工具的使用
volatility -f easy_dump.img imageinfo
【获取内存操作系统】
volatility -f easy_dump.img kdbgscan
【获取内存操作系统
【imageinfo和kdbgscan这两个一般第一个最准确】
volatility -f easy_dump.img --profile=Win7SP1x64 netscan
【–profile参数指定镜像】
【内存网络扫描】
volatility -f easy_dump.img --profile=Win7SP1x64 amdscan
【读取cmd命令】
volatility -f easy_dump.img --profile=Win7SP1x64 pslist
【内存进程列举】
volatility -f easy_dump.img --profile=Win7SP1x64 hivelist
【列举内存注册表】
volatility -f easy_dump.img --profile=Win7SP1x64 -o 0xfffff8a0013fb010 printkey
【解析指定的注册表】
volatility -f easy_dump.img --profile=Win7SP1x64 -o 0xfffff8a0013fb010 printkey -K “ControlSet001\Control\ComputerName\ComputerName”
【获取主机名】
volatility -f easy_dump.img --profile=Win7SP1x64 -o 0xfffff8a0013fb010 printkey -K “SAM\Domains\Account\Users\Names”
【获取windows主机用户名】
volatility -f easy_dump.img mimikatz
【抓取用户密码】
volatility -f easy_dump.img filescan
【文件扫描】
volatility -f easy_dump.img filescan | grep “flag”
【配合grep文件扫描】
1.先查看镜像信息
volatility -f easy_dump.img imageinfo
它最有可能是Win7SP1x64的镜像【一般第一个最有可能】
然后后面就用参数 --profile指定镜像为Win7SP1x64
2.指定镜像信息进行扫描
volatility -f easy_dump.img --profile=Win7SP1x64 psscan
在这里发现这个notepad.exe ,想到看记事本里面的内容,寻找线索
3.把记事本的内容导出来
volatility -f easy_dump.img --profile=Win7SP1x64 memdump -p 2616 -D ./
可以看到导出文件2616.dmp
这里说一下两个参数:
procdump:是提取进程的可执行文件
memdump:是提取进程在内存中的信息
这里我们记事本里面的信息,所以用memdump
4.在2616.dmp里面直接搜flag有关的信息
strings -e l 2616.dmp | grep "flag"
得到下一个提示是jpg
5.那我们就开始内存文件读取搜jpg
volatility -f easy_dump.img --profile=Win7SP1x64 filescan | grep "jpg"
发现一个图片文件phos.jpg
导出来这个图片,file.None.0xfffffa8008355410.vacb【名称默认】
volatility -f easy_dump.img --profile=Win7SP1x64 dumpfiles -Q 0x000000002408c460 -D ./
6.检查phos.jpg图片
图片看不了,使用binwalk查看
binwalk file.None.0xfffffa8008355410.vacb
发现里面有zip文件
7.分离zip文件
foremost file.None.0xfffffa8008355410.vacb
分离后自动生成一个outpt文件,里面可以看分离出来的压缩文件
可以得到message.img文件,再次使用binwalk工具提取里面的文件
即可得到隐藏在里面的hint.txt文件,打开查看发现是一些数字
8、怀疑这些数字是坐标,于是上脚本转换一下试试 ,得到二维码图片
#脚本文件
import matplotlib.pyplot as plt
import numpy as np
x = []
y = []
with open('hint.txt','r') as f:
datas = f.readlines()
for data in datas:
arr = data.split(' ')
x.append(int(arr[0]))
y.append(int(arr[1]))
plt.plot(x,y,'ks',ms=1)
plt.show()
9、识别这个二维码
得到两个消息,一个是维吉尼亚加密,秘钥是aeolus,一个是加密文件被删除了,所以我们需要恢复一下这个被删除的文件
10、使用testdisk恢复文件
参考文章:https://blog.csdn.net/yalecaltech/article/details/90574912
https://blog.csdn.net/weixin_42742658/article/details/106819187
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
