BUUCTF [RoarCTF2019]forensic

最新推荐文章于 2023-11-11 09:46:10 发布
最新推荐文章于 2023-11-11 09:46:10 发布
阅读量1.3k 收藏 7
点赞数 2
分类专栏: BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46481239/article/details/108873022
版权

打开在这里插入图片描述
下载mem.raw
把mem.raw放入kali
volatility查看镜像

volatility -f mem.raw imageinfo

在这里插入图片描述
建议用profile, 后面用Win7SP1x86
查看内存进程:

volatility -f men.raw pslist --profile Win7SP1x86

发现有几个进程
在这里插入图片描述
了解发现:
TrueCrypt.exe是一款磁盘加密工具,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。
notepad.exe windows自带记事本
mspaint.exe win7自带画图工具
DumpIt.exe 内存镜像读取

查看提取内存进程中的数据

volatility -f mem.raw --profile=Win7SP1x86 userassist

在这里插入图片描述
在这里插入图片描述
看到mspaint.exe和NOTEPAD.EXE都无数据
继续扫描文件

volatility -f mem.raw --profile=Win7SP1x86 filescan |grep -E 'png|jpg|gif|zip|rar|7z|pdf|txt|doc'

在这里插入图片描述
可以看到在0x000000001efb29f8处有个无标题.png文件,了解到无标题.png是windows画图工具的默认文件名,把图片dump下来

volatility -f mem.raw --profile=Win7SP1x86 dumpfiles -Q 0x000000001efb29f8 --dump-dir=./

在这里插入图片描述
得到一张图片
再扫描桌面文件

volatility -f mem.raw --profile=Win7SP1x86 filescan | grep "Desktop"

在这里插入图片描述
通过了解Dumpit.exe默认生成文件是 {hash}.raw, 默认保存路径是dumpit.exe所在的路径
把生成的文件dump下来

volatility -f mem.raw --profile=Win7SP1x86 dumpfiles -Q 0x000000001fca1130 --dump-dir=./

发现没有数据
在这里插入图片描述
判断取证的时候dumpit.exe还在运行中 ,把dumpit.exe的内存镜像dump下来

dump进程内存:memdump -p 进程PID -D 路径

找到进程pid
在这里插入图片描述

volatility -f mem.raw --profile=Win7SP1x86 memdump -p 3380 -D ./

在这里插入图片描述
发现有个3380.dmp内存镜像
foremost分离
在这里插入图片描述
发现flag.txt加密了,联想到之前扫描到的png文件上的内容,猜测应该是flag.txt的密码
在这里插入图片描述
解压,拿到flag
在这里插入图片描述

F10NAF11pp3d
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ctf Misc][RoarCTF2019]forensic +内存取证
ShenZ的博客
09-09 2270
这题蛮鬼的,就,没有捷径,捷径导出文件一定是坏的 附件:mem.raw [RoarCTF2019]forensic 1.volatility处理 λ volatility_2.6_win64_standalone.exe -f xxx7\Compressed\mem.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based o
DUMPIT.exe
05-28
内存镜像读取,内存镜像读取,内存镜像读取,内存镜像读取
Volatility内存取证使用
qq_42947816的博客
08-05 5964
1.背景 本文主要使用Dumpit及Volatility对计算机进行取证,对内存文件进行分析,获取内存重要信息, 还原攻击。 2.内存镜像Dumpit 2.1 简介 Dumpit是用于生成Windows机器的物理内存转储,可运行在32位/64位系统中,可完美地部署在USB闪存盘上,快速响应事件。 2.2 下载链接 下载链接:https://github.com/thimbleweed/All-In-USB/tree/master/utilities/DumpIt 2.3 Dumpit使用 1.将软件拷贝到需
Windows取证实验
qq_63855830的博客
03-26 2066
Windows活取证实验
DumpIt windows内存获取工具
09-30
DumpIt windows内存获取工具,一键获取windows内存
File System Forensic Analysis epub
12-16
File System Forensic Analysis 英文epub 本资源转载自网络,如有侵权,请联系上传者或csdn删除
android forensic
08-01
此书是对载有android系统的手机进行取证的参考书,讲到了很多android系统相关的知识,针对android系统进行取证时用到的一些工具等等。
EnCase-Forensic取证软件完整版资料.ppt
11-14
EnCase-Forensic取证软件完整版资料 EnCase Forensic是Guidance Software公司开发的一款计算机取证软件,旨在提供计算机犯罪取证的全面解决方案。该软件提供实时预览、分析和获取,符合美国立法规范,全球最大的...
Windows Forensic Analysis Toolkit
04-08
Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 7 provides an overview of live and postmortem response collection and analysis methodologies for Windows 7. It considers the...
The Art of Memory Forensic
04-08
The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory Memory forensics provides cutting edge technology to help investigate digital attacks ...
计算机取证volatility
robacco的博客
09-23 817
带有恶意软件的内存镜像下载:https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples DumpIt v1.3.2:https://qpdownload.com/dumpit/ 一、volatility v2.6 1.使用内存镜像转储工具dumpit生成内存镜像文件(.raw)或者使用虚拟机快照文件(.vmem...
取证工具Volatility-2.1使用方法
热门推荐
Soda_199的博客
03-21 1万+
1、首先下载python,然后解压安装完成后,设置环境变量。2、根据自己电脑的系统下载volatility,网址:http://www.volatilityfoundation.org/releases,然后解压即可。3、用DumpIt工具(是内存副本获取工具)生成主机的物理内存镜像。解压DumpIt后,双击DumpIt.exe可执行程序,并在提示问题后面输入y,等待几分钟时间即可在当前目录下生成...
一文讲述内存取证的数据保存、数据分析、CTF实战案例
qq_53058639的博客
10-27 227
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
BUU_re_[V&N2020 公开赛]strangeCpp
weixin_52034946的博客
01-30 99
64位,进入ida,查看字符串, 我是从这里跟进来的,进入主函数,有一堆putchar,一般来说,这就是输出的是flag,猜的,纯属猜测 进入字符看一看,注意后面的DATA XREF 就会发现.这些字符都用了同一个函数,但是有一个用的是另外一个,这个就很奇怪了对吧,就顺理成章的进去看一看发生了什么 sub_140013580 这里从下往上看 result == 607052314 然后 result = sub_140011384((unsigned int)dword_140021190) 猜测这个
BUU随手刷的几个题
wha1e的博客
03-15 303
一点刷题记录
【电子取证篇】分享一波电子数据取证工具
最新发布
蘇小沐的电子数据取证博客
11-11 2361
大多数为开源或免费的电子取证相关工具---【蘇小沐】
浅谈内存取证
weixin_50464560的博客
09-15 1250
i春秋作家:lem0n原文来自:浅谈内存取证0x00 前言网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了内存取证研究的起源
Oxygen Forensic
07-28
Oxygen Forensic是一个用于手机上的取证套件,用于收集设备的各种信息,包括制造商、操作系统、IMEI号码、序列号等。它还可以收集联系人、消息(电子邮件、短信、彩信)、已删除的消息、通话记录和日历信息。\[1\]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值