目录
12.filescan-----dumpfiles 提取进程
首先学习基础用法
1.查看系统基本信息 imageinfo
vol.py -f 路径 imageinfo
2.查看进程命令行 cmdline cmdline
vol.py -f 路径 --profile=系统版本 cmdline
vol.py -f 路径 --profile=版本 cmdscan
3.查看进程信息 pslist
vol.py -f 路径 --profile=系统 pslist
通过树的方式返回 pstree
vol.py -f 路径 --profile=系统 pstree
4.DLL列表 动态链接库的列表
这里的命令都可以通过 -p 指定 pid dlllist
vol.py -f 路径 --profile=系统 dlllist
打印出动态链接库的具体信息 ldrmodules
vol.py -f 路径 --profile=系统 ldrmodules
打印出更具体的内容和十六进制的值 malfind
vol.py -f 路径 --profile=系统 malfind
5.查看用户密码信息 开机密码 hashdump
vol.py -f 路径 --profile=系统 hashdump
然后通过md5爆破即可
6.查看注册表信息 printkey
vol.py -f 路径 --profile=系统 printkey
查看注册表的详细信息 hivedump
vol.py -f 路径 --profile=系统 hivelist
查看某个地址的注册表信息 hivedump
vol.py -f 路径 --profile=系统 hivedump -o 地址
7.查看网络信息 netscan
vol.py -f 路径 --profile=系统 netscan
8.查看服务的运行 svcscan
vol.py -f 路径 --profile=系统 svcscan
9.查看环境变量 envars
vol.py -f 路径 --profile=系统 envars
10.进程缓存的文件 filescan
vol.py -f 路径 --profile=系统 filescan
11.pslist-----memdump 提取进程
首先通过pslist
然后提取
vol.py -f 路径 --profile=系统 memdump -p 指定的pid -D 输出的目录
12.filescan-----dumpfiles 提取进程
首先通过
然后提取
vol.py -f 路径 --profile=系统 dumpfiles -Q 指定的偏移量 -D 输出的目录
题目
[OtterCTF 2018]
查看主机名
Let's start easy - whats the PC's name and IP address?
ip地址可以通过 netscan取得
所以是 192.168.202.131
主要是主机名
我们无法直接获取
通过注册表 hivelist
我们的主机名在system
然后
我们通过 -o printkey 来看详细内容
继续跟进
--profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"
--profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"
--profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"
--profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
到此 主机名就出现了
查看剪切板
[OtterCTF 2018]
题目告诉我们 他复制到在线密码管理的地方了
复制粘贴就需要用到剪切板
我们可以通过vol直接打印剪切板的内容
py -2 vol.py -f C:\Users\12455\Desktop\OtterCTF.vmem --profile=Win7SP1x64 clipboard
答案就出现了
查看恶意程序感染
py -2 vol.py -f C:\Users\12455\Desktop\OtterCTF.vmem --profile=Win7SP1x64 pstree
只需要看树就行了
能发现可疑 的瑞克和莫提
然后树下面存在 VMware-tray.exe 怀疑就是
去看看有没有执行命令
py -2 vol.py -f C:\Users\12455\Desktop\OtterCTF.vmem --profile=Win7SP1x64 cmdline -p 3820,3720
跟踪种子下载的恶意软件
在上面我们发现了恶意软件的的执行
这里我们需要找一下种子中的恶意出现在哪里
就是先去寻找种子文件
先通过 grep 查找相关文件
py -2 vol.py -f C:\Users\12455\Desktop\OtterCTF.vmem --profile=Win7SP1x64 filescan | grep "Rick And Morty"
然后我们导出
py -2 vol.py -f C:\Users\12455\Desktop\OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007d63dbc0,0x000000007d8813c0,0x000000007da56240,0x000000007dae9350,0x000000007dcbf6f0,0x000000007e710070 -D C:\Users\12455\Desktop\1
通过linux的strings 或者 010 查看
最后在查找第四个的时候 发现了
py -2 vol.py -f C:\Users\12455\Desktop\OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007dae9350 -D C:\Users\12455\Desktop\1
特殊的字符
M3an_T0rren7_4_R!cke
继续跟进到浏览器下载种子
要我们继续跟进
种子文件多半就是浏览器下载的
所以我们继续跟进到Chrome浏览器
py -2 vol.py -f C:\Users\12455\Desktop\OtterCTF.vmem --profile=Win7SP1x64 pslist | grep chrome
通过扫描进程 我们发现了运行过的Chrome浏览器 我们导出进程备份文件
然后通过linux的strings 指定 上下10条 搜索有关rick and morty的内容
strings 1808.dmp |grep "Rick And Morty" -C 10
一直尝试下去
直到在 dip为 3924的dmp文件中找到了奇怪的字符
Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@inYear
通过exe转存勒索文件
这里就学会新的插件
通过
procdump -p pid -D
可以把文件作为exe导出
我们就把恶意软件导出
py -2 vol.py -f C:\Users\12455\Desktop\OtterCTF.vmem --profile=Win7SP1x64 procdump -p 3720 -D C:\Users\12455\Desktop\1
然后我们可以对这个程序进行分析
通过先查看多少位
32位 直接ida打开看看
在date块有一些可疑的 提交看看
最后发现是这个
文件分离得到图片
题目提示我们
恶意软件的图形中有一些可疑之处。
那我们就通过binwalk 分离就可以了
binwalk -e executable.3720.exe --run-as=root
然后就通过png打开即可
但是我无法打开 所以使用另一个foremost 分离
foremost -T executable.3720.exe
让我们找加密文件的密码
ida分析
我们能发现又几个可疑函数
里面能发现使用到了 主机名-用户名
那我们直接通过strings WIN-LO6FAF3DTFE-rick看看内存文件
strings -eb OtterCTF.vmem |grep WIN-LO6FAF3DTFE-Rick