内存镜像文件取证

已于 2024-03-24 20:24:47 修改
阅读量1.8k 收藏 22
点赞数 26
分类专栏: CTF 文章标签: CTF
于 2024-03-20 15:29:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53008479/article/details/136877644
版权

目录

内存镜像文件与volatility工具

这个文件就是内存镜像文件,常见的内存镜像文件有raw、vmem、dmp、img等

在这里插入图片描述

提取内存信息,我们一般采用volatility工具进行提取,具体如何安装和使用,直接去网上搜索就可以了

在这里插入图片描述

获取电脑用户名

题目问我们的第一个问题是佳佳的电脑用户名叫什么,我们先去识别一下.raw文件信息,获取系统版本

为了更好的进行操作,我们先把文件名JiaJia_Co.raw修改为q.raw

在这里插入图片描述

输命令

volatility.exe -f q.raw imageinfo

在这里插入图片描述

内存的镜像版本是Win7SP1x64,操作系统我们一般采用第一个

打印注册表配置单元列表,获取计算机注册表目录

volatility.exe -f q.raw --profile=Win7SP1x64 hivelist

在这里插入图片描述

通过题目的暗示,我们知道佳佳的电脑用户名叫JiaJia

在这里插入图片描述

注册表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 这个目录下保存着当前计算机中的所有用户,可以使用 printkey 插件,并用-K参数指定这个目录并打印

volatility.exe -f q.raw --profile=Win7SP1x64 printkey -K "SAM\DOMAINS\Account\Users\Names"

在这里插入图片描述

发现除了Administrator用户和Guest用户之外,还有一个JiaJia用户,那就能百分百确定佳佳的电脑用户名

获取程序最后一次运行的时间

打印userassist注册表项和信息

跟踪在资源管理器中打开的可执行文件和完整路径,其中UserAssist保存了windows执行的程序的运行次数和上次执行日期和时间。

volatility.exe -f q.raw --profile=Win7SP1x64 userassist

题目问我们的是最后一次运行计算器的时间,我们直接去找calc.exe的最后一次运行的时间

在这里插入图片描述

得出最后运行的时间是2021-12-10 12:15:47 UTC+0000,因为我们是在东八区,所以时间要加上8个小时,所以最终的截止时间是2021-12-10 20:15:47

合在一起flag就是ctfshow{JiaJia_2021-12-10_20:15:47},md5加密为ctfshow{079249e3fc743bc2d0789f224e451ffd}

总结

使用hashdump获取sam值

volatility.exe -f q.raw --profile=Win7SP1x64 hashdump

在这里插入图片描述

先破解sam值获取hash值,然后在md5解密

判断hash值使用的是那种方式加密:https://hashes.com/en/tools/hash_identifier

john pass.txt

在这里插入图片描述
在这里插入图片描述

john的使用文章可以参考:https://zhuanlan.zhihu.com/p/559819451

使用lsadump命令可以强制查看服务器默认密码

volatility.exe -f q.raw --profile=Win7SP1x64 lsadump

在这里插入图片描述

查看当前系统IP,获取主机IP 192.168.26.230

volatility.exe -f q.raw --profile=Win7SP1x64 netscan

在这里插入图片描述
在这里插入图片描述

通过svcscan查询服务名称,找到对应服务名

volatility.exe -f q.raw --profile=Win7SP1x64 svcscan

在这里插入图片描述

linux内存镜像取证,Linux下内存取证工具Volatility的使用
weixin_42361070的博客
05-03 887
#01简介 Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/p/volatility/ 只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的#01简介Volatility是开源的Windows,Linux...
linux内存镜像取证,W3bSafe-记一次Linux镜像取证
weixin_35224065的博客
05-03 521
查看题目要求下载这三个镜像并将victoria-v8.sda1.img挂载到/mnt目录下sudo mount -o loop victoria-v8.sda1.img /mnt在/mnt目录下可以看见首先查看系统版本cat etc/issue在var/log目录下查看Linux的版本然后制作版本对应的profile,可自己手动制作,也可以使用github上制作好的Github项目:https:/...
内存镜像转储取证
01-13
这个工具可以dump内存,将目前计算机的内存镜像保存为raw文件,然后方便使用kali中的取证工具进行取证分析。
内存镜像中提取数据
lepton126的专栏
07-27 604
利用volatility3提取内存数据
Windows内存镜像取证
ping204568238的博客
02-29 1173
3.终端输入volatility -f 文件名.vmem --profile=系统版本号 netscan就可以得到本地以及远程用户的IP地址和连接端口号。4.终端输入volatility -f 文件名.vmem --profile=系统版本号 cmdscan就可以得到历史命令,从而看到第一个命令。5.终端输入volatility -f 文件名.vmem --profile=系统版本号 iehistory就可以找到浏览器搜索过的内容。需要指定偏移量 -Q 和输出目录 -D。
volatility内存镜像取证
M3ng@L的博客
01-15 5527
volatility内存镜像取证 在misc中raw文件一般不是一个图像文件,RAW(图像文件)_百度百科 (baidu.com) 而是内存镜像文件,(10条消息) 内存映像文件简介_hust_sheng的专栏-CSDN博客_内存映像文件 也就是说在这个镜像文件里面,我们可以看到当时主机上运行的进程以及交换的文件 这里介绍使用volatility对raw文件进行取证,也就是是内存取证 volatility安装(10条消息) volatility安装及使用_陈止风的博客-CSDN博客_volatility安装
获取计算机内存镜像文件,Dump镜像内存提取工具
weixin_39890814的博客
07-23 2048
Dump镜像内存提取工具官方版是一款非常专业的Dump镜像内存提取软件,Dump镜像内存提取工具官方版可以提取进程程序的镜像内存地址和大小数据信息,Dump镜像内存提取工具可以获取Dump信息,从而方便寻找特征码等数据。软件介绍Dump镜像内存提取工具官方版可用于提取任何游戏进程的镜像内存,用于找特征码等数据软件特色1、保存的TXT和eml文件均在DUMP文件所在的文件夹下,文件名与DUMP文件同...
内存镜像工具MAGNET
07-13
电子数据取证人员在取证现场需要的一种工具,必备的内存镜像工具,操作简单,支持分卷,超级好用!RAM CAPTURE V1.2.0
Windows8下基于镜像文件的内存取证研究
02-13
博士论文,讲解非常清楚,欢迎阅读,会有丰厚的收获,Windows8下基于镜像文件的内存取证研究
全面解析取证技术:流量分析、内存镜像取证与磁盘镜像取证
m0_57836225的博客
09-15 1577
在数字时代,取证技术对于维护网络安全、解决法律纠纷以及保护个人和企业的权益至关重要。本文将深入探讨取证技术的三个主要方面:流量分析、内存镜像取证和磁盘镜像取证,为读者提供全面且系统的指南。
内存映像分析工具
02-13
单独使用的Memory Analyzer,一个功能丰富的 JAVA 堆转储文件分析工具,可以帮助你发现内存漏洞和减少内存消耗。可以利用 MAT 来进行堆转储文件分析,找到内存泄露的根源。
进程内存转储工具|内存镜像提取-取证工具
最新发布
chinese_cabbage0的博客
12-21 1457
内存转储是将内存所运行的程序中所有数据通过调试器保存到磁盘中的过程。系统崩溃时,将内存中的数据转储保存在转储文件中,供给有关人员进行排错分析。其生成所保存的文件被称作内存转储文件,主要用于程序的调试和内存取证
使用foremost对磁盘镜像文件做数字取证
ybdesire的专栏
04-19 5602
foremost是linux下用于恢复文件的工具,能对dd,Safeback,Encase等工具提取出来的image文件进行恢复。
内存映像文件
06-16 925
<br />象使用虚拟内存一样,使用内存映像文件同样需要经过保留和提交两个过程,首先在进<br />程内存空间保留一块区域,然后提交物理存储给这段区域。不同的是物理存储来自于磁<br />盘上的文件,而不是系统的分页文件。也即将磁盘上指定的数据文件作为虚拟内存,这<br />个实现过程被称为文件映像,可以将文件全部或部分映像到进程的地址空间中。文件映<br />像过以后,可以把文件映像的部分当作已全部被载入内存一样的去访问它,这时又称它<br />为内存映像文件。<br />内存映像文件使用步骤<br />
一文教你学会解析内存镜像(历年美亚杯内存镜像检材汇总-附相关命令软件检材下载链接)
m0_37867238的博客
11-05 1091
(1分) A. 31.12.82.1 B. 40.10.261.1 C. 218.112.79.1 D. 218.112.172.8 E. 未连接/未连接到任何外部IP.(1分) A. mmlang.dll B. Normal.dll C. sensapi.dll D. Secu.dll E. WINNS.dll.显示过程ID,该父进程ID(PPID),线程的数目,把手的数目,日期时间时,过程开始和退出。(1分) A. E:/ B. F:/ C. G:/ D. Z:/ E. 未连接/未连接到任何外部IP.
恢复删除的文件
心 境地
06-14 651
恢复删除的文件 当Linux计算机受到入侵时,常见的情况是日志文件被删除,以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件,比如在清理旧日志时,意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。 当进程打开了某个文件时,只要该进程保持打开该文件,即使将其删除,它依然存在于磁盘中。这意味着,进程并不知道文件已经被删除,它仍然可以向打开该文件时提供给它的文件描述
内存映像分析工具Eclipse Memory Analyzer
weixin_30702413的博客
05-28 150
1. Eclipse Memory Analyzer安装 Help ->Eclipse Marketplace,搜索Memory,点击install,->confirm->同意证书内容->finish。安装完成后重启。参考:Eclipse安装内存分析工具(Memory Analyzer)2. 修改配置Window-> Preferences->Genera...
获取计算机内存镜像文件,计算机取证物理内存镜像获取技术的研究与实现
weixin_30695935的博客
07-23 532
摘要:随着信息技术的发展,计算机与网络成为社会政治,经济,文化生活的重要组成部分,而与此相关的各种计算机犯罪现象也日益突出.计算机取证技术成为打击计算机犯罪的重要手段,是目前计算机界和法学界共同研究,关注的重点. 本文介绍了计算机取证技术的现状和发展情况,比较了现有的计算机取证模式,分析了离线取证模式的不足,指出了在线取证模式研究的必要性.物理内存取证是在线取证的重要环节,也是当今的研究热点.本文...
FTK Imager的强大功能:详细解读内存和磁盘镜像导出
m0_68483928的博客
07-16 5831
FTK Imager 是一款功能强大且免费的取证工具,由 AccessData 开发,被广泛应用于法务调查和信息安全领域。它的主要用途是快速创建和分析数据镜像,包括内存镜像和磁盘镜像,镜像挂载,文件预览和提取,验证数据的完整性。官方介绍 翻译:FTK Imager 是一款免费的数据预览和成像工具,用于通过创建计算机数据副本而不更改原始证据,以法医可靠的方式获取电子证据。官网:https://www.exterro.com/digital-forensics-software/ftk-imager。
vol3导出内存镜像的txt文件命令
05-05
在使用volatility3导出内存镜像的txt文件时,可以使用以下命令: ``` volatility3 -f <memory_image_file> windows.dumpfiles --dump-dir <output_directory> ``` 其中,`<memory_image_file>`为内存镜像文件路径,`<output_directory>`为输出目录路径。 该命令会在指定的输出目录中生成一个名为`dumpfiles`的子目录,其中包含了从内存镜像中提取出的所有文件和目录的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值