解压出来是一个虚拟内存文件,当时想的应该就是内存取证了
先分析一下内存镜像的基本信息
volatility -f 隐藏的秘密.vmem imageinfo
可以看到主机使用的操作系统版本,这里我们使用Win2003SP1x86
看一下运行过的进程,如果进程已经结束,会在Exit列显示日期和时间,表明进程已经结束
volatility -f 隐藏的秘密.vmem --profile Win2003SP1x86 pslist
这里注意到有两个进程
regedit.exe:是Windows注册表编辑器
notepad.exe:是Windows自带记事本
查看提取内存进程中的数据
volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 userassist
两个进程都无数据
那我们继续扫描一下内存中的文件并提取出来
volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 filescan >>1.txt
发现桌面文件有个file.txt
扫描一下桌面文件:
volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 filescan | grep 桌面
(这一步可以省略我只是更直观的可以看到)
那我们接下来可以把这个文件dump下来
volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 dumpfiles -Q 0x000000000412cde0 -D ./
用记事本打开得到一个提示
没有这个用户却被这个用户登录了,说明存在一个隐藏用户
之前也查看到有个注册表编辑器的进程
通过资料查找
在regedit中我们可以看到隐藏用户所在的路径
我们查看一下系统用户名(sam表中的用户)
volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 printkey -K "SAM\Domains\Account\Users\Names"
隐藏用户带有$符号,那么多隐藏用户,哪一个才是真的呢
把之前注册表进程dump下来 (-p后面接的是进程的pid),在前面查看运行进程的时候就可以记录一下)
volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 memdump -p 804 -D ./
dump下来之后,把SAM表中的可打印字符打印下来
发现了这个可疑用户值
\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\00000493
把它匹配一下,查看00000493下的值
volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 printkey -K "SAM\Domains\Account\Users\00000493"
发现这个相匹配的隐藏用户FHREhpe$
把这个隐藏用户FHREhpe$ hushdump提取出来
volatility -f 隐藏的秘密.vmem --profile=Win2003SP1x86 hashdump | grep FHREhpe
按照提示:格式:md5(用户名:密码)
先把密码解出来
NIAIWOMA
FHREhpe$:NIAIWOMA