CTF内存取证(window)

已于 2024-04-22 15:19:54 修改
阅读量335 收藏
点赞数
文章标签: 网络安全
于 2023-11-11 20:25:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74025111/article/details/134339665
版权

事件描述:您的任务是使用 Redline 和 Volatility 工具分析内存转储。您的目标是跟踪攻击者在受感染计算机上采取的步骤,并确定他们如何设法绕过网络入侵检测系统“NIDS”。您的调查将涉及识别攻击中使用的特定恶意软件系列及其特征。此外,您的任务是识别和缓解攻击者留下的任何痕迹或足迹。

1.目标可疑进程的名称是什么?

先查看一下imageinfo信息

python3 vol.py -f '/home/yyy/Desktop/sever2023.mem' windows.psscan

凭此进程的话是没有办法去判断哪个是可疑的,然后我们使用其他的插件去排除一下,以下命令为扫描恶意代码。

python3 vol.py -f '/home/yyy/Desktop/sever2023.mem' windows.malfind  

 oneetx.exe 这么就吻合了,就是这个名称了

2.查看一下可疑进程的子进程名称是什么?

python3 vol.py -f '/home/yyy/Desktop/sever2023.mem' windows.pstree

抓取到子进程的可以名称:rundll32.exe

3.请查看应用于可疑进程内存区域的内存保护是什么?

python3 vol.py -f '/home/yyy/Desktop/sever2023.mem' windows.vadinfo | grep oneetx.exe 

  按照进程来转储一下文件

python3 vol.py -f '/home/yyy/Desktop/sever2023.mem' windows.vadinfo  --pid 5896

4.负责VPN连接的进程的名称是什么?

python3 vol.py -f '/home/yyy/Desktop/sever2023.mem' windows.psscan

  

 查看到了这个Outline.exe进程,我去网上查了些资料确定了这个就是vpn的进程

5.请查看出攻击者的 IP 地址是什么?

python3 vol.py -f '/home/yyy/Desktop/sever2023.mem' windows.netscan | grep -10  oneetx.exe

跑出了这个ip地址后,我判断了一下,这个就是攻击者的ip地址

6.查看你恶意软件家族的名称是什么? 

strings '/home/yyy/Desktop/sever2023.mem'| grep Redline

 7.查看攻击者访问的PHP文件的完整URL是什么?

strings '/home/yyy/Desktop/sever2023.mem'| grep 77.91.124.20 -10 

 8.查看恶意可执行文件的完整路径是什么?

strings '/home/yyy/Desktop/sever2023.mem'| grep oneetx.exe

老杨网络之路.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf 内存取证的一些命令
舞动的獾
11-12 8009
内存取证 相当于给出镜像文件,一般为.raw文件,在这些文件中找出相应的文件 常用命令 在kali下用工具volatility 查看系统信息 volatility -f mem.raw imageinfo 如下显示的系统都有可能,可以一个个的试试 查看运行程序列表 volatility -f mem.raw --profile=Win7SP1x64 pslist ...
CTF取证
S_cx666的博客
01-19 1174
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证文件, --profile 后加的是工具识别出的系统版
windows内存取证-简单
weixin_48421613的博客
11-08 473
作为 Security Blue 团队的成员,您的任务是使用 Redline 和 Volatility 工具分析内存转储。您的目标是跟踪攻击者在受感染计算机上采取的步骤,并确定他们如何设法绕过网络入侵检测系统“NIDS”。您的调查将涉及识别攻击中使用的特定恶意软件系列及其特征。此外,您的任务是识别和缓解攻击者留下的任何痕迹或足迹。
深挖 Rundll32.exe 的多种“滥用方式”以及其“特别”之处。
【Rainbow Network Technology co., LTD】
08-08 1416
在这篇文章中,我们将深挖 Rundll32.exe 的多种利用方法与其特别之处,以期对其有所了解。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
OtterCTF内存取证wp
m0_66638011的博客
05-09 5125
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件
CTF取证总结(内存取证,磁盘取证)以及例题复现
Love&Share
09-20 2万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证文件, --profile 后加的是工具识别出的系
内存取证工具Volatility学习
crowsec
09-14 6652
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。volatility(挖楼推了推) 是一个开源的框架,能够对导出的内存镜像进行分析,能够通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程。
CTF内存取证入坑指南!稳!题目
03-28
Volatility是一款开源的内存取证框架,广泛应用于CTF(Capture The Flag)竞赛和实际的网络安全事件响应中。它支持多种操作系统,包括Windows、Linux、Mac OS等,提供了丰富的命令来提取和解析内存映像中的信息。...
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
CTF取证类题目指南
01-09
CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是...
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
OtterCTFMemory Forensics内存取证文件
12-09
4. **恶意软件检测**: 在CTF比赛中,内存取证常用于寻找隐藏的恶意活动。通过分析内存,参赛者可以发现未在磁盘上留下痕迹的临时文件、网络通信模式、异常进程行为等,这些都是恶意软件可能的迹象。 5. **数据恢复*...
一文讲述内存取证的数据保存、数据分析、CTF实战案例
dzqxwzoe的博客
10-06 594
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
Windows内存取证-中等难度 -上篇
weixin_48421613的博客
10-30 332
VT在线工具。
CTF刷题笔记 - misc方向 - 电子取证/内存分析
最新发布
m0_62652276的博客
12-31 2637
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
溯源取证 - windows内存取证 - 中级
weixin_48421613的博客
06-07 2332
此篇文章,我们将学习windows内存取证技巧,包括学习windows内存取证常用目录文件、使用到的取证工具,技巧;
数字取证学习之内存取证CTF解题实例
一位热爱网安的年轻人的博客
11-19 1868
数字取证内存取证CTF解题案例
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8404
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
利用Volatility进行内存取证CTF-陇剑杯实战指南
在"CTF-陇剑杯之内存分析-虚拟机内存取证1"这篇文章中,主要介绍了如何使用内存取证工具Volatility进行虚拟机内存分析。Volatility是一个开源的内存取证框架,它特别适用于分析内存镜像,帮助用户深入理解系统运行时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值