记一次比赛的内存取证-基础训练 题目质量扎实

这是题目和wolatility2.6的链接

链接:https://pan.baidu.com/s/1wNYJOjLoXMKqbGgpKOE2tg?pwd=ybww
提取码:ybww
--来自百度网盘超级会员V4的分享

压缩包很小,题目也比较简单基础,可以供入门使用

1:Which volatility profile would be best for this machine?
我理解为机器的名字是什么

首先就查看一个操作系统,这里查看操作系统好像只有v2可以,v3不知道为什么是没有这个功能的

首先写 volatility.exe -f
把内存拖入+imageinfo

VolatilityWorkbench-v2.1>volatility.exe -f C:\Users\86156\Desktop\基础篇工具及映像\CYBERDEF-567078-20230213-171333.raw imageinfo

一般建议系统的第一个就是真正的系统

然后这个地方我们要学习一下内存时间,这个地方第一个时间

相差8小时,我不知道有什么区别,从utc来看都是一样的

前者是实际的时间,vol解析是算utc+0的标准时间

然后后面的那个是本机显示时间,有一个local,就是电脑实际显示时间


2.How many processes were running when the image was acquired?
获取到这个映像的时候,有多少个进程是正在运行的

pslist

pslist是看正在运行 pstree和这个差不多

psscan是查看死去和活进程

3.What is the process ID of cmd.exe?
CMD进程的PID号码是多少

还是很明显的,就是1960

4.What is the name of the most suspicious process?
最可疑的进程是什么名字?

这里按理说要一个一个整理,但是我发现了chat的妙用,这几把太厉害了

 最终还是他看出来了


5.Which process shows the highest likelihood of code injection?
哪一个进程被注入的可能性最高
此题其实考验对rootkit病毒的熟知程度,通常情况下rootkit病毒在windows系统中最喜欢干的事就是通过svchost进程进行捆绑,因为svchost是系统守护程序,是不能通过常规手段停止的,那么任何与之关联的程序也都没有办法通过常规杀软去清除,因为svchost启动等级高于常规杀软,所以若是想清除与svchost捆绑的程序,需要进入到系统安全模式下,并使用最小化启动,然后找到svchost注册表项清除对应捆绑关系再删掉木马就行了。

6.There is an odd file referenced in the recent process. Provide the full path of that file.
接上题,该进程在运行过程中引用了一个奇怪的文件,文件完整路径是什么

思路就是看svchost在运行过程中,我们要看他调用什么文件

所以就是找到svchost这个端口的880 调用过的文件

./volatility_2.6_lin64_standalone -f CYBERDEF-567078-20230213-171333.raw profile=WinXPSP2x86 -p 880 handles -t file

-p  是指定进程 ID 的选项
handles  是用于打印每个进程的打开句柄列表的插件命令
-t  是一个选项,用于指定您希望结果显示的对象类型。
此题依然考验对rootkit病毒的理解,通常情况下rootkit会释放两个文件,一个是sys驱动文件,一个是dll文件,rootkit自身只是一个释放程序,dll文件自身功能通常为通信木马,sys驱动程序为保活文件



7.What is the name of the injected dll file loaded from the recent process?
接上题,该进程在运行过程中被注入的DLL文件是什么

 如果在windows运行,grep可能会报错

推荐内存还是在kali里面做好一点,但是由于我kali环境没好,所以就win吧

./volatility_2.6_lin64_standalone -f CYBERDEF-567078-20230213-171333.raw profile=WinXPSP2x86 ldrmodules -p 880 | grep -i false

 

 没通过校验,所以就是msxnl3.dll这个文件

ldrmodules 是用于检测未链接 DLL 的插件命令
grep -i false 这是为了过滤以仅显示带有单词“false”的结果
这里其实就是通过恶意的dll文件是未签名的来寻找,因为正常的dll动态链接库都是通过了签名校验的,但是恶意的dll文件是没有通过签名校验的,PChunter找病毒也是一样的原理

8.What is the base address of the injected dll?
这个注入的dll文件的内存地址是什么

查询注入malfind  是查找隐藏和注入代码的插件命令,这个命令很强大,直接输入会显示很多结果,为了要求显示svchost下的,必须要指定880端口进行过滤

所以命令是:malfind -p 880

./volatility_2.6_lin64_standalone -f CYBERDEF-567078-20230213-171333.raw profile=WinXPSP2x86 malfind -p 880  

malfind  是查找隐藏和注入代码的插件命令

我们可以把该dll文件导出到我们想要的目录里

dlldump -p 880 --base=0x980000 --dump-dir=.

注意,这个每个结构都不可或缺

./volatility_2.6_lin64_standalone -f CYBERDEF-567078-20230213-171333.raw profile=WinXPSP2x86 dlldump -p 880 --base=0x980000 --dump-dir=.

dlldump 导出dll文件的插件
--base 指定内存地址
--dump-dir 指定存放路径(如果当前路径就加一点    .     )
这里用微步验证一下

 确定就是这个恶意

  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
Linux内存取证是通过分析目标系统的内存内容来收集证据和信息,以便解决计算机取证案件。以下是一个Linux内存取证的例题: 一台Linux服务器被怀疑遭到黑客攻击,管理员需要对其内存进行取证分析,以确定攻击者的活动和获取证据。首先,管理员需要通过命令行工具或者专业取证工具获取服务器的内存镜像。接着,需要对内存镜像进行分析,寻找可能的攻击痕迹。 在分析内存镜像时,需要注意以下几个方面: 1. 进程和线程:查看运行的进程和线程,以确定是否有异常的程序或者未知的进程在运行。 2. 网络连接:分析内存中的网络连接信息,查找是否有不正常的网络活动,比如与未知主机的连接、大量的数据传输等。 3. 内存中的文件:检查内存中的文件内容,寻找是否有可疑的文件被加载到内存中。 4. 历史活动录:查看内存中的历史活动录,比如命令历史和登录录,找出是否有异常的操作。 通过以上分析,管理员可以确定是否遭到了攻击,以及攻击者的行为和活动轨迹。同时也可以收集到用于取证的信息,如攻击者的IP地址、使用的工具和技术等。这些信息将有助于对案件进行调查和取证。 通过这个例题,可以看到Linux内存取证对于解决计算机取证案件具有重要的意义,同时也需要管理员具备专业的技能和工具来进行取证分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

modest —YBW

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值