BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗

最新推荐文章于 2024-03-08 15:24:51 发布
最新推荐文章于 2024-03-08 15:24:51 发布
阅读量2.4k 收藏 3
点赞数 2
分类专栏: CTF_MISC_Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/109853022
版权 
https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97

在这里插入图片描述

memory.img

在这里插入图片描述
Volatility分析

查看文件的Profile

volatility -f memory.img imageinfo

在这里插入图片描述
猜测为:Win2003SP1x86

查看进程

volatility -f memory.img --profile=Win2003SP1x86 pslist

在这里插入图片描述
发现DumpIt.exe,然后查看cmd命令使用记录

volatility -f memory.img --profile=Win2003SP1x86 cmdscan

在这里插入图片描述
发现Flag字样,将DumpIt.exe这个程序dump下来

volatility -f memory.img --profile=Win2003SP1x86 memdump -p 1992 --dump-dir=./

在这里插入图片描述
foremost分离1992.dmp

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

key: Th1s_1s_K3y00000
iv: 1234567890123456

jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=

给了key(密码)和iv(偏移量),AES加密
在这里插入图片描述

flag{F0uNd_s0m3th1ng_1n_M3mory}
末 初
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF [HDCTF2019]你能发现什么蛛丝马迹
qq_51447967的博客
04-28 591
题目分析 下载到一个.img后缀的文件,其实就是一个软盘的镜像文件,和ISO的镜像差不多,一看这种类型的就是取证了。这里应该是内存取证,使用Volatility工具镜像内存的分析。 首先查看镜像的系统版本 vol.py -f ./memory.img imageinfo 得到 主要看Profile属性,这里显示了三个可能的操作系统版本,都可以试试。 在指定了版本之后查看进程 vol.py -f memory.img --profile=Win2003SP1x86 pslist 得
freedns.ws 批量解析是否有毒没经过测试
04-04
4. **了解许可**:阅读服务的使用条款和隐私政策,确保你知道如何以及何时可以使用工具。 5. **行为谨慎**:不要提供敏感信息,除非完全理解工具的工作方式和目的。 最后,对于任何网络工具的使用,保持警惕和良好...
buuctf刷题记录13 [HDCTF2019]Maze
ytj00的博客
08-01 548
第一次接触花指令,搞了一下午才弄懂 查壳,是upx加壳,脱壳后,拖进ida,发现无法f5 可以看出这应该是关键代码的一部分。 这里jnz跳转到了下一行代码,相当于没跳转 没什么用,而下面的call near ptr 0EC85D78Bh调用了一个不是地址的地址,可以推断出这段代码添加了花指令,IDA分析失败了。 可以确定这个jnz指令是花指令,还有下面的call指令。 先将jnz指令nop掉。 然后这个call还是有问题 之后就是这个call指令,不能全部nop,因为后面那个东西可能是有效代码。摁d将
BuuCTF难题详解| Misc | [HDCTF2019]你能发现什么蛛丝马迹
pone2233的博客
12-15 1745
题目介绍 这道题目,是一道非常典型的内存取证的题目,相信会了这道题目,大家会对内存取证更加喜欢。 [HDCTF2019]你能发现什么蛛丝马迹吗 下载文件一看就是一个内存取证的题目,我们先看看版本 :volatility.exe -f memory.img imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG sear
BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹
yzl_007的博客
11-14 1163
BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹吗 打开一个镜像文件 分析镜像,看一下文件的profile值,确定内存镜像的版本 volatility -f memory.img imageinfo 接下来搜索一下进程,看看出题人做了些什么操作 仔细看一眼时间,试试最后那个,时间最近的操作 因为是win2003,查看一下这个操作从cmd命令 volatility -f memory.img --profile=Win2003SP1x86 cmdscan dump下来,pid是
你能发现什么蛛丝马迹
wangjin7356的博客
03-10 268
题目链接 https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97 解题过程 打开题目是个镜像文件:memory.img 考虑使用volatility取证工具。将memory.img复制到kali中,用volatility分析: volatility imageinfo -f memory
BUUCTF-MISC-[HDCTF2019]信号分析1
苏生要努力
03-08 432
百度得知:PT2242信号:前面4bit表示同步码,中间的20bit表示地址码,后面的4bit表示功能码,最后一位是停止码。下载附件是一个WAV的文件,题目又叫做信号分析,用Adobe Audition 打开分析了。01 代表 F,00 代表 0,11 代表 1,最后的0是结束符。发现有很多长短不一样的信号,只需要分析一段。得到最后flag:FFFFFFFF0001。猜测长的是一短的为0。
[HDCTF2019]信号分析
paidx0
11-12 1082
前言 一道有意思的Misc的题,记录一下,用于区别之前做过的一道类似的题,这次好像是什么汽车遥控杆的信号 [SCTF2019]电单车 题目给了个 .wav 文件,又因为题目叫做信号分析,所以直接用Adobe Audition 打开分析了 适当缩放,会发现是一段一段重复的信号,所以只需要分析一段 根据之前做过的电单车的信号分析,先把它们转化成0和1 长的是1,短的是0 最后得到 0101010101010101000000110 PT2242信号:前面4bit表示同步码,中间的20bit表示地址码,后面
网站设计:从URL看网站的蛛丝马迹.pdf
08-10
网站设计中的URL(统一资源定位符)是网络用户与服务器交互的重要途径,它不仅用于导航,还能揭示网站的结构和功能。分析URL可以帮助我们理解网站的运作方式,识别潜在的安全风险,甚至洞察网站背后的运营策略。以下...
来自214份科创财报的蛛丝马迹:硬科技梳理.pdf
08-12
新能源技术的发展不仅有助于降低碳排放,还能推动能源产业的结构性变革,为相关硬科技领域带来新的发展机遇。 第三,渗透率提升和技术革新是硬科技行业发展的内生动力。随着技术进步,越来越多的硬科技产品和服务...
蛛丝马迹.doc
09-20
由于这些痕迹如同蜘蛛丝一样细小且难以察觉,因此人们将两者结合,创造了"蛛丝马迹"这个成语,用以比喻那些不易发现但又与事件核心相关的线索。 "蛛丝马迹"的由来,反映了古人对自然界的观察力和对日常现象的智慧...
会计实务:数据挖掘技术在虚假财务报表识别中的应用研究.pdf
11-28
数据挖掘技术可以通过分析财务指标之间的关系,发现虚假财务报表的蛛丝马迹。 数据挖掘技术还可以帮助监管层、投资者和审计师等相关方实时有效地识别虚假财务报表。通过建立虚假财务报表识别模型,可以自动从上市...
buu的几道misc题
qq_44640313的博客
04-20 254
VeraCrypt挂载和内存分析和AES解密,TLS协议
BUUCTF:7月做题记录
qq_46230755的博客
07-19 1397
摸鱼嘿嘿嘿
CTFHub_历年真题_MISC——“图片修复”、“磁盘恢复”、“蛛丝马迹
Ho1aAs‘s Blog
07-24 5810
文章目录使用工具解题过程Ⅰ、图片修复Ⅱ、磁盘恢复Ⅲ、蛛丝马迹完 –>CTFHub传送门<– 使用工具 winhex Photoshop Wireshark 解题过程 Ⅰ、图片修复 附件是损坏的GIF文件 首先看看GIF的文件头,果然,文件头缺失 –>文件头大全传送门<– 使用winhex修复文件头47494638 在第一个字符“47”之后添加3组0字节,右键——编辑——添加零字节 修改后GIF正常显示 FLAG存在于其中两张动图上,使用PS分离 Ⅱ、磁盘恢复 附件是W
BUUCTF MISC刷题笔记(五)
volcano的博客
05-10 3661
BUUOJMisc[MRCTF2020]摇滚DJ(建议大声播放 Misc [MRCTF2020]摇滚DJ(建议大声播放
BUUCTF Crypto [HDCTF2019]bbbbbbrsa wp
hsqGOD's blog
03-16 2121
打开题目我们可以看到这就是一道RSA的题目,且几乎所有条件都知道,就只有e需要在50000到70000之间爆破,算是非常的简单,直接上脚本 // python2 import base64 import gmpy2 p=177077389675257695042507998165006460849 n=374218295098877962748971622493673294009886471456...
Kafka集群负载均衡:策略、实践与性能优化
最新发布
08-23
Kafka是一个分布式流处理平台,最初由LinkedIn公司开发,后来成为Apache软件基金会的一个顶级项目。Kafka主要用于构建实时数据管道和流处理应用程序。它能够高效地处理高吞吐量的数据流,并且具有很好的可扩展性、容错性和持久性。 以下是Kafka的一些关键特性: 1. **分布式系统**:Kafka通过多个代理(Broker)组成集群,支持数据的分布式存储和并行处理。 2. **发布-订阅模型**:Kafka使用发布-订阅模式,生产者(Producer)将消息发布到主题(Topic),消费者(Consumer)从主题订阅消息。 3. **高吞吐量**:Kafka设计用于处理高吞吐量的数据流,每秒可以处理数百万条消息。 4. **持久性**:Kafka将数据存储在磁盘上,支持数据的持久化,即使在系统故障的情况下也不会丢失数据。 5. **可扩展性**:Kafka可以通过增加更多的Broker来水平扩展,以处理更大的数据量。 6. **容错性**:Kafka支持数据的副本(Replication),确保数据的高可用性和容错性。 7. **实时性**:Kafka设计用于实时数据处理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值