题目
**链接:https://pan.baidu.com/s/1tYgIicCqJExmaMLYa3YeSA
提取码:lulu **
你作为 A 公司的应急响应人员,请分析提供的内存文件按照下面的要求找到 相关关键信息,完成应急响应事件。
****1、从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位); ****
2、获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;
3、获取当前系统浏览器搜索过的关键词,作为 Flag 提交;
4、当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;
5、恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。
上题已经看到进程
答案
可以看看上面博客的工具安装过程,再熟悉使用教程,由于我这里用的的是免安装的,所以估计略有差别
1.从内存中获取到用户admin的密码并且破解密码,以Flag }admin,password{形式提交(密码为 6 位);
这句话是必须记住的,所以我就原封不定的记过来了,不管是什么题,内存取证的第一步肯定是去判断当前的镜像信息,分析出是哪个操作系统使用 imageinfo 查看系统信息。
./volatility_2.6_lin64_standalone -f 1.vmem imageinfo