内存取证例题

已于 2022-10-19 15:02:06 修改
阅读量6.1k 收藏 74
点赞数 16
分类专栏: 内存取证 文章标签: 开发语言 windows 安全 数据库 网络安全
于 2022-10-19 10:51:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68012373/article/details/127394375
版权

目录

背景:

题目

参考

解析

 1.从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);   

2.获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;

3.获取当前系统浏览器搜索过的关键词,作为 Flag 提交;

4.当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;

5.恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。

 加油各位( •̀ ω •́ )y 期待与君再相逢

背景:

作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。 应急响应阶段题目主要包含:Windows 内存镜像分析,Linux 内存镜像分析, 磁盘文件恢复,恶意程序分析等内容。

题目

链接:https://pan.baidu.com/s/1tYgIicCqJExmaMLYa3YeSA 
提取码:lulu 

你作为 A 公司的应急响应人员,请分析提供的内存文件按照下面的要求找到 相关关键信息,完成应急响应事件。

1、从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);   

2、获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;

3、获取当前系统浏览器搜索过的关键词,作为 Flag 提交;

4、当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;

5、恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。

上题已经看到进程

参考

金砖技能大赛-应急响应-内存镜像分析-进程分析_小晨_WEB的博客-CSDN博客_内存镜像分析

解析

 1.从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);   

      不管什么题内存取证的第一步肯定是去判断当前的镜像信息,分析出是哪个操作系统   使用参数  imageinfo 查看系统信息

      volatility -f 1.vmem imageinfo

操作系统我们一般取第一个就可以了

接下来就可以输入参数

可以先查看当前内存镜像中的用户

volatility -f 1.vmem –profile=Win7SP1x64 printkey -K “SAM\Domains\Account\Users\Names

 使用hashdump获取sam

volatility -f 1.vmem --profile=Win7SP1x64 hashdump

 可以通过john工具来进行爆破,但是好像跑不出来结果。应该是设定了强密码。于是只能使用了lasdump命令来查看

volatility -f 1.vmem --profile=Win7SP1x64 lsadump

 

 

  flag{admin.dfsddew}

2.获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;

 Netscan 可以查ip

volatility -f 1.vmem --profile=Win7SP1x64 netscan

 Ip:192.168.85.129

主机名需要通过查询注册表,先用hivelist

Volatility -f  1.vmem --profile=Win7SP1x64 hivelist

 然后我们需要一步一步去找键名

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

 volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"

继续

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"

继续

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"

再来

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

得到主机名WIN-9FBAEH4UV8C

也可以直接通过 hivedump查询相应的键名 但比较慢

volatility -f 1.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a000024010 > system.txt

3.获取当前系统浏览器搜索过的关键词,作为 Flag 提交;

这里使用iehistory

volatility -f 1.vmem --profile=Win7SP1x64 iehistory

  flag{admin@file:///C:/Users/admin/Desktop/flag.txt}

4.当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;

volatility -f 1.vmem --profile=Win7SP1x64 netscan 

唯一一个已建立的

  flag{54.36.109.161:2222}

5.恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。

上一题中已经知道了进程号为2588

volatility -f 1.vmem --profile=Win7SP1x64 pslist -p 2588

查到父进程是3036

然后在通过通过svcscan可以查询服务名称,找到对应服务名

volatility -f 1.vmem --profile=Win7SP1x64 svcscan

 flag{VMnetDHCP}

 加油各位( •̀ ω •́ )y 期待与君再相逢

路baby
关注
  • 16
    点赞
  • 74
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 9
    评论
专栏目录
内存取证入门第二题
admin的博客
07-06 783
题目链接。链接:https://pan.baidu.com/s/1bytz9mF_IOBrXY_NYtIgNQ--来自百度网盘超级会员V2的分享。
中科磐云 内存取证.zip
10-14
磐云内存取证题目 2021中职 网络安全 试题4
内存取证技术
最新发布
2301_79580906的博客
07-14 278
公司的应急响应人员,请分析提供的内存文件按照下面的要求找到。、当前系统中存在挖矿进程,请获取指向的矿池地址,以。、恶意进程在系统中注册了服务,请将服务名以。、获取当前系统浏览器搜索过的关键词,作为。相关关键信息,完成应急响应事件。的密码并且破解密码,以。、从内存中获取到用户。
计算机取证的相关案例,计算机取证案例分析
weixin_39970668的博客
07-09 1940
——高位清零后的文件提取张广辉于海波一、引言在一起受贿案件的侦查中,行贿人交代一份详细记录行贿对象、行贿时间、行贿金额的word文档被其以Shifit+Delete的方式删除,由于行贿的对象和次数较多,行贿人无法回忆出详细的行贿情况,因而对这份电子证据的提取和固定就显得尤为重要。幸运的是行贿人还能回忆出的文件名、存储位置等相关信息。对行贿人的电脑硬盘进行克隆并校验哈希值,对镜像进行分析后发现存...
内存取证之volatility(例题[护网杯]Easy_dump)
苏生要努力
02-27 766
上面英文翻译结果如下,这是一个维吉尼亚密码,秘钥是aeolus,有了加密方式,有了秘钥,需要密文。在这里发现这个notepad.exe ,想到看记事本里面的内容,寻找线索。6 检查phos.jpg图片,图片无法查看,使用binwalk查看。在2616.dmp里面直接搜flag有关的信息,得到下一个提示是。8 怀疑这些数字是坐标,于是上脚本转换一下试试 ,得到二维码图片。寻找到一个.swp文件,如果熟悉它,知道是中断文件,直接恢复。文件,再次使用binwalk工具提取里面的文件。,即可得到隐藏在里面的。
内存取证(详细解析)
weixin_51957047的博客
04-16 572
Volatility -f /dev/nbd0 --profile=Win7SP1x64 iehistory 查看ie记录。1.从内存中获取到用户admin的密码并且破解密码,以flag{admin,password}形式提交(密码为6位);4.当前系统中存在挖矿进程,请获取指向的矿池地址,以flag{ip:端口}形式提交;2.获取当前系统ip地址及主机名,以flag{ip:主机名}形式提交;5.恶意进程在系统中注册了服务,请将服务名以flag{服务名}形式提交。对/dev/nbd0进行分析。
内存取证练习
SwBack的博客
05-10 717
题目描述 内存取证是一种比较主观性的题目 My friend John is an “environmental” activist and a humanitarian. He hated the ideology of Thanos from the Avengers: Infinity War. He sucks at programming. He used too many variables while writing any program. One day, John gave me
内存取证 volatility
07-12
内存取证网络安全与犯罪调查中的一个重要领域,它涉及到在计算机系统关机或重启后,从内存映像中提取和分析数据。Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等...
内存取证的框架
01-20
内存取证是一种重要的网络安全技术,主要用于检测和分析计算机系统中的恶意活动。它主要关注的是系统运行时的状态,即内存中的信息,因为很多恶意软件为了逃避传统静态分析,会选择在内存中执行其恶意行为。"内存...
内存取证的艺术
02-21
内存取证是一种调查技术,旨在分析计算机系统在被非法入侵或遭受其他安全事件之后所留下的数字证据。取证专家通常会利用内存取证来捕捉那些只存在于内存中的动态数据,因为这些数据在系统关闭后会丢失。内存取证不仅...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
【镜像取证篇】VMware虚拟机配置文件取证
蘇小沐的电子数据取证博客
11-01 3644
【镜像取证篇】VMware虚拟机配置文件取证 ​ 虚拟机取证中,通常主要关注.log、.vmdk、.vmem三个文件,里面包含虚拟机的大部分资料信息。—【suy】 测试环境 1、VMware® Workstation 16 Pro(V16.1.2 build-17966106) 2、Microsoft windows 11 专业版(V22000.282) 虚拟机挂起状态 虚拟机文件简介 序号 名称 内容 备注 01 .log 虚拟机-调试运行情况的日志记录;如文件创建、USB
wireshark取证案例学习笔记
corner55的博客
05-15 1327
有一封信引起了她的注意,它显然是垃圾邮件,但躲过了邮箱的邮件过滤。在等待引渡文件准备的时间里,你和你的团队继续密密地监控她的行为。没意思,张发财女士关掉了浏览器窗口,然后开始一天的工作。图片的md5不能另存为进行md5校验,可以使用压缩软件,当使用Winrar打开后会发现图片是单独的,解压出来,进行校验。你的任务是通过分析pcap文件,找出张发财女士点击了链接后,计算机系统发生了什么。幸运的是,在她消失之前,侦查人员一直在监视她的网络。你的任务是找出张小花发了什么邮件,她去了哪里,并还原一切线索。
中职网络安全 - b模块 - 内存取证
c868954104的博客
03-21 210
1.从内存文件中获取用户admin的密码并破解,将该密码作为flag值提交(密码长度为6个字符);使用hashcat进行破解,根据题目提示要admin用户的hash,并且密码为6位。5.内存文件的系统中恶意进程在系统中注册了服务,请将服务名称作为flag值提交。4.内存文件的系统中存在挖矿进程,将矿池的IP地址作为flag值提交;2.获取内存文件中系统的IP地址,将IP地址作为flag值提交;3.获取内存文件中系统的主机名,将主机名作为flag值提交;得到admin用户的密码为 H@cker。
内 存 取 证
lin__ying的博客
01-12 1951
/volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f810a70 -D ././volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f832360 -D ./
CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型
Ba1_Ma0的博客
03-16 5353
本篇文章演示的插件已经可以做绝大部分题目了,之后就多在buuctf或者ctfshow等线上ctf平台刷题,积累经验。
内存取证neicun.vmem (上一期整理了工具的用法,那么这一期我们来一把实战!)
qq_56025677的博客
02-25 671
打开第一个文件 .png的文件头89504E47 第二个文件打开发现没有明确是什么文件翻到文件结尾部分发现好像是png文件的尾部,所有猜测这两个可能是一张图片的内容 合并后果然得到了flag。可以把进程导出来,注册的服务器一般是需要开启的,开启的关键字是start,直接收缩start就能出来。5、从内存文件中获取黑客进入系统后下载的flag文件,将文件中的值作为Flag值提交。3、当前系统中存在的挖矿进程,请获取指向的矿池地址,以Flag{ip}形式提交。
linux内存取证例题
01-16
Linux内存取证是通过分析目标系统的内存内容来收集证据和信息,以便解决计算机取证案件。以下是一个Linux内存取证例题: 一台Linux服务器被怀疑遭到黑客攻击,管理员需要对其内存进行取证分析,以确定攻击者的活动和获取证据。首先,管理员需要通过命令行工具或者专业取证工具获取服务器的内存镜像。接着,需要对内存镜像进行分析,寻找可能的攻击痕迹。 在分析内存镜像时,需要注意以下几个方面: 1. 进程和线程:查看运行的进程和线程,以确定是否有异常的程序或者未知的进程在运行。 2. 网络连接:分析内存中的网络连接信息,查找是否有不正常的网络活动,比如与未知主机的连接、大量的数据传输等。 3. 内存中的文件:检查内存中的文件内容,寻找是否有可疑的文件被加载到内存中。 4. 历史活动记录:查看内存中的历史活动记录,比如命令历史和登录记录,找出是否有异常的操作。 通过以上分析,管理员可以确定是否遭到了攻击,以及攻击者的行为和活动轨迹。同时也可以收集到用于取证的信息,如攻击者的IP地址、使用的工具和技术等。这些信息将有助于对案件进行调查和取证。 通过这个例题,可以看到Linux内存取证对于解决计算机取证案件具有重要的意义,同时也需要管理员具备专业的技能和工具来进行取证分析。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路baby

你的鼓励将是我创作的最大动力✌

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值