BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗

最新推荐文章于 2024-03-08 15:24:51 发布
最新推荐文章于 2024-03-08 15:24:51 发布
阅读量2.3k 收藏 3
点赞数 2
分类专栏: CTF_MISC_Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/109853022
版权 
https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97

在这里插入图片描述

memory.img

在这里插入图片描述
Volatility分析

查看文件的Profile

volatility -f memory.img imageinfo

在这里插入图片描述
猜测为:Win2003SP1x86

查看进程

volatility -f memory.img --profile=Win2003SP1x86 pslist

在这里插入图片描述
发现DumpIt.exe,然后查看cmd命令使用记录

volatility -f memory.img --profile=Win2003SP1x86 cmdscan

在这里插入图片描述
发现Flag字样,将DumpIt.exe这个程序dump下来

volatility -f memory.img --profile=Win2003SP1x86 memdump -p 1992 --dump-dir=./

在这里插入图片描述
foremost分离1992.dmp

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

key: Th1s_1s_K3y00000
iv: 1234567890123456

jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=

给了key(密码)和iv(偏移量),AES加密
在这里插入图片描述

flag{F0uNd_s0m3th1ng_1n_M3mory}
末 初
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF [HDCTF2019]你能发现什么蛛丝马迹
qq_51447967的博客
04-28 549
题目分析 下载到一个.img后缀的文件,其实就是一个软盘的镜像文件,和ISO的镜像差不多,一看这种类型的就是取证了。这里应该是内存取证,使用Volatility工具镜像内存的分析。 首先查看镜像的系统版本 vol.py -f ./memory.img imageinfo 得到 主要看Profile属性,这里显示了三个可能的操作系统版本,都可以试试。 在指定了版本之后查看进程 vol.py -f memory.img --profile=Win2003SP1x86 pslist 得
网站设计:从URL看网站的蛛丝马迹.pdf
08-10
网站设计:从URL看网站的蛛丝马迹.pdf
freedns.ws 批量解析是否有毒没经过测试
04-04
freedns.ws批量解析 批量解析 freedns.ws需要的速度下载去吧啊
BUUCTF-MISC-[HDCTF2019]信号分析1
苏生要努力
03-08 377
百度得知:PT2242信号:前面4bit表示同步码,中间的20bit表示地址码,后面的4bit表示功能码,最后一位是停止码。下载附件是一个WAV的文件,题目又叫做信号分析,用Adobe Audition 打开分析了。01 代表 F,00 代表 0,11 代表 1,最后的0是结束符。发现有很多长短不一样的信号,只需要分析一段。得到最后flag:FFFFFFFF0001。猜测长的是一短的为0。
金融工程专题:捕捉拐点的蛛丝马迹,趋势与加速度共振的择时-0904-华创证券-22页.pdf
07-26
金融工程专题:捕捉拐点的蛛丝马迹,趋势与加速度共振的择时-0904-华创证券-22页.pdf
你能发现什么蛛丝马迹
wangjin7356的博客
03-10 237
题目链接 https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97 解题过程 打开题目是个镜像文件:memory.img 考虑使用volatility取证工具。将memory.img复制到kali中,用volatility分析: volatility imageinfo -f memory
BUUCTF:7月做题记录
qq_46230755的博客
07-19 1137
摸鱼嘿嘿嘿
BuuCTF难题详解| Misc | [HDCTF2019]你能发现什么蛛丝马迹
pone2233的博客
12-15 1646
题目介绍 这道题目,是一道非常典型的内存取证的题目,相信会了这道题目,大家会对内存取证更加喜欢。 [HDCTF2019]你能发现什么蛛丝马迹吗 下载文件一看就是一个内存取证的题目,我们先看看版本 :volatility.exe -f memory.img imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG sear
BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹
yzl_007的博客
11-14 1110
BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹吗 打开一个镜像文件 分析镜像,看一下文件的profile值,确定内存镜像的版本 volatility -f memory.img imageinfo 接下来搜索一下进程,看看出题人做了些什么操作 仔细看一眼时间,试试最后那个,时间最近的操作 因为是win2003,查看一下这个操作从cmd命令 volatility -f memory.img --profile=Win2003SP1x86 cmdscan dump下来,pid是
buuctf刷题记录13 [HDCTF2019]Maze
ytj00的博客
08-01 522
第一次接触花指令,搞了一下午才弄懂 查壳,是upx加壳,脱壳后,拖进ida,发现无法f5 可以看出这应该是关键代码的一部分。 这里jnz跳转到了下一行代码,相当于没跳转 没什么用,而下面的call near ptr 0EC85D78Bh调用了一个不是地址的地址,可以推断出这段代码添加了花指令,IDA分析失败了。 可以确定这个jnz指令是花指令,还有下面的call指令。 先将jnz指令nop掉。 然后这个call还是有问题 之后就是这个call指令,不能全部nop,因为后面那个东西可能是有效代码。摁d将
[HDCTF2019]信号分析
paidx0
11-12 1022
前言 一道有意思的Misc的题,记录一下,用于区别之前做过的一道类似的题,这次好像是什么汽车遥控杆的信号 [SCTF2019]电单车 题目给了个 .wav 文件,又因为题目叫做信号分析,所以直接用Adobe Audition 打开分析了 适当缩放,会发现是一段一段重复的信号,所以只需要分析一段 根据之前做过的电单车的信号分析,先把它们转化成0和1 长的是1,短的是0 最后得到 0101010101010101000000110 PT2242信号:前面4bit表示同步码,中间的20bit表示地址码,后面
来自214份科创财报的蛛丝马迹:硬科技梳理.pdf
08-12
来自214份科创财报的蛛丝马迹:硬科技梳理.pdf
蛛丝马迹.doc
09-20
蛛丝马迹.doc
位运算符知识点习题及参考答案
05-29
位运算符知识点习题及参考答案
grpcio-1.48.2-cp37-cp37m-macosx_10_10_x86_64.whl
最新发布
05-29
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
ascii码表所有汇总
05-29
ascii码表 ASCII(发音:,American Standard Code for Information Interchange,美国信息交换标准代码)是基于拉丁字母的一套电脑编码系统。它主要用于显示现代英语,而其扩展版本延伸美国标准信息交换码则可以部分支持其他西欧语言,并等同于国际标准ISO/IEC 646。 ASCII 由电报码发展而来。第一版标准发布于1963年 ,1967年经历了一次主要修订[5][6],最后一次更新则是在1986年,至今为止共定义了128个字符;其中33个字符无法显示(一些终端提供了扩展,使得这些字符可显示为诸如笑脸、扑克牌花式等8-bit符号),且这33个字符多数都已是陈废的控制字符。控制字符的用途主要是用来操控已经处理过的文字。在33个字符之外的是95个可显示的字符。用键盘敲下空白键所产生的空白字符也算1个可显示字符(显示为空白)。
scratch2源码有动画的植物大战僵尸
05-29
scratch2源码有动画的植物大战僵尸提取方式是百度网盘分享地址
基于Java蚁群算法路由选择可视化(源码+使用文档)
05-29
基于Java的蚁群算法路由选择可视化系统是一个将蚁群算法应用于网络路由选择问题的项目,它通过模拟蚂蚁寻找食物的行为来寻找网络中数据传输的最优路径。这个系统不仅展示了蚁群算法的实用性,还提供了一个可视化界面,让用户能够直观地观察路由选择的过程。 主要功能 路由可视化:动态展示网络中数据包的传输路径和路由变化。 蚁群算法模拟:模拟蚂蚁寻找最短路径的行为,实时更新路由信息。 参数配置:允许用户配置网络拓扑、蚂蚁数量、信息素浓度等参数。 最优路径展示:高亮显示算法找到的最优路由路径。 算法控制:提供开始、暂停、重置等控制功能,方便用户操作。 日志记录:记录蚁群算法的运行日志,包括路径选择和信息素更新等信息。 技术架构 Java:作为主要编程语言,负责系统逻辑和网络编程。 Java Swing:用于构建图形用户界面。 蚁群算法:实现路由选择的优化算法。 数据结构:使用图和矩阵等数据结构表示网络拓扑。 多线程:使用多线程技术模拟多只蚂蚁同时寻找路径。 开发优势 直观展示:通过可视化界面直观展示路由选择过程。 算法学习:帮助学习和理解蚁群算法的原理和应用。 实用性:可用于教学演示或实际网络路由优化
ctf 图片提取flag用什么方式
09-24
### 回答1: CTF竞赛中,如果需要从一张图片中提取flag,通常有以下几种方式: 1. 使用steg工具进行隐写分析:steg工具可以检测和提取图片中的隐藏信息,比如使用LSB隐写的信息、加密的信息等等。这些工具可以通过调整参数来发现隐藏的信息,从而找到flag。 2. 使用图像处理技术:通过使用Photoshop、GIMP等软件,对图片进行处理,比如将图片的通道进行调整,或者更改图片的亮度、对比度等。有时,flag可能以不同的颜色或亮度出现,通过调整图片可以找到它。 3. 人工查找:有时候,flag可能以文本的形式明确地出现在图片中,这需要我们仔细查看图片,寻找不同的图案和形状,或者查找图片的元数据信息(如EXIF数据)。 需要注意的是,这些技术都需要一定的专业知识和经验,需要在实践中不断学习和掌握。 ### 回答2: 在CTF比赛中,提取图片中的隐藏flag可以通过以下几种方式进行: 1. 隐写术(Steganography):这是最常见的一种方式。隐写术是通过在图片中嵌入或隐藏信息的技术。可以使用可用的隐写术工具,如Stegsolve、OpenStego等,进行隐写术分析和提取。还可以使用命令行工具,如Steghide等来进行相关操作。 2. 文件解析(File analysis):有时候,CTF比赛中的图片题目可能使用其他文件格式进行隐藏,比如将扩展名更改为.jpg、.png等。通过仔细检查文件的二进制数据,可使用文件标识头等信息进行文件解析,找到正确的文件格式并提取flag。 3. 图像处理(Image processing):CTF比赛中的图片有时可能经过了一些图像处理操作,例如颜色的修改、滤波等。使用图像处理软件,如Adobe Photoshop、GIMP等,可以对图像进行还原或者调整,找到隐藏的flag。 4. 网络流量分析(Network traffic analysis):某些CTF图片题目可能是从网络中捕获的,比如通过Wireshark等监控工具。在网络流量中,可以查看图像的传输过程以及与之相关的数据包,可能会发现隐藏的flag。 5. 元数据分析(Metadata analysis):有时候,图片的元数据中包含关于图片本身的信息,例如拍摄设备、拍摄时间等。通过查看图片的元数据,可以找到隐藏的flag。 总之,在CTF比赛中,提取图片中的隐藏flag需要一定的图像处理、隐写术和文件分析技巧。这需要对各种工具和技术有一定的了解,并进行深入的分析和研究。 ### 回答3: 在CTF(Capture The Flag)比赛中,提取图片中隐藏的Flag可以使用多种方式。以下是其中几种常用的方法: 1. 图像处理软件:使用常见的图像处理软件,如Photoshop、GIMP等,可以打开图片并进行一系列的编辑和分析操作。可以尝试调整图像的亮度、对比度、色调等参数,通过增强某些特定区域的细节来寻找Flag的蛛丝马迹。 2. 隐写术工具:CTF竞赛中,图像隐藏信息的常用手段是加密和隐写术。隐写工具如Steghide、Stegsolve等,可以用于识别和提取图像中隐藏的信息或文件。这些工具可以分析图像的色彩分布、像素值等特征,以及隐藏信息的编码方式,从而找到Flag。 3. 文件扩展改变:有时图像的文件扩展名可能是人为更改的,只需要将文件扩展名恢复到正确的格式,然后打开图片即可找到Flag。常见的图像文件扩展名有.jpg、.png、.bmp等。 4. 复制粘贴:将图片中的内容复制到其他文本编辑器中,如记事本或文本编辑器中,然后仔细查看粘贴的文本内容是否包含Flag。 无论采用哪种方式,提取图片中的Flag都需要使用观察力和分析能力。CTF比赛中,可能会使用更加复杂的隐藏技巧和加密方式,需要多方面的思考和尝试寻找Flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值