内存取证 Volatility

最新推荐文章于 2024-04-18 13:14:54 发布
最新推荐文章于 2024-04-18 13:14:54 发布
阅读量834 收藏 25
点赞数 12
分类专栏: CTF练习记录 文章标签: 网络安全 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/orchid_sea/article/details/136376819
版权

文章目录


内存分析工具 volatility,有Volatility2和Volatility3两种,分别基于Python2和Python3环境运行。说是一般Volatility2比Volatility3好用,所以我也选择的Volatility2版本。
在这里插入图片描述
一般kali里面兼容了python2和Python3,但是pip命令执行的都是python3环境,没有配置pip2,因此需要自己下载安装。
在/usr/bin目录下查看关于python的链接情况

安装工具volatility和插件mimikatz

参考链接:https://blog.csdn.net/qq_73722777/article/details/132891008

  1. kali里面配置Python2对应的pip2
    下载pip2 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py
    安装pip2 python2 get-pip.py
    查看版本 python2 -m pip -V

  2. pip2安装依赖库
    更新pip2 pip2 install --upgrade setuptools
    安装2个库
    pip2 install construct==2.10.54
    pip2 install pycryptodome

  3. 安装反编译库distorm3
    下载链接:https://github.com/vext01/distorm3
    可以下载压缩包后解压,也可以直接使用git clone下载
    git clone https://github.com/vext01/distorm3
    下载好后进入文件夹编译工具: python2 setup.py install

  4. 安装volatility
    官网下载地址:https://www.volatilityfoundation.org/releases
    Github下载链接:https://github.com/volatilityfoundation/volatility
    下载好后进入文件夹编译工具: python2 setup.py install
    查看帮助命令vol.py -h
    在这里插入图片描述

  5. 安装插件mimikatz
    Github下载链接:https://github.com/RealityNet/hotoloti/blob/master/volatility/mimikatz.py
    下载后拖入volatility/volatility/plugins/
    在这里插入图片描述

使用插件: vol.py --plugins=[plugins文件夹路径] -f [镜像文件路径] --profile=[操作系统] mimikatz

[陇剑杯 2021]内存分析

参考链接:https://blog.csdn.net/J_linnb/article/details/130399309

  1. 网管小王制作了一个虚拟机文件,让您来分析后作答:
    虚拟机的密码是_____________。(密码中为flag{xxxx},含有空格,提交时不要去掉)。得到的flag请使用NSSCTF{}格式提交。

  • 获取内存镜像的摘要信息vol.py -f 镜像文件 imageinfo
    在这里插入图片描述
    获取到该镜像的操作系统为:Win7SP1x64

  • 使用lsadump从注册表中提取LSA密钥信息vol.py -f Target.vmem --profile=Win7SP1x64 lsadump
    在这里插入图片描述

  • 也可以使用mimikatz提取vol.py -f Target.vmem --profile=Win7SP1x64 mimikatz --plugins=./volatility/plugins/
    在这里插入图片描述

第一问答案:NSSCTF{W31C0M3 T0 THiS 34SY F0R3NSiCX}

  1. 网管小王制作了一个虚拟机文件,让您来分析后作答:
    虚拟机中有一个某品牌手机的备份文件,文件里的图片里的字符串为_____________。(解题过程中需要用到上一题答案中flag{}内的内容进行处理。本题的格式也是flag{xxx},含有空格,提交时不要去掉)。得到的flag请使用NSSCTF{}格式提交。

  • filescan扫描,过滤关键词vol.py -f Target.vmem --profile=Win7SP1x64 filescan | grep CTF
    在这里插入图片描述发现HUAWEI P40的备份文件
    在这里插入图片描述

  • 提前第一个文件 vol.py -f Target.vmem --profile=Win7SP1x64 dumpfiles -Q 进程ID -D 放入的文件夹
    在这里插入图片描述在这里插入图片描述

  • unzip解压dat文件
    在这里插入图片描述

  • 下载解密脚本
    解压出来的文件中,有一个images0.tar.enc文件,是华为加密文件,需要使用解密脚本在这里插入图片描述
    解密脚本地址:https://github.com/RealityNet/kobackupdec
    在这里插入图片描述

  • 对备份文件解密
    进行解密:kobackupdec.py [-h] [-v] 用户密码 包含华为备份的文件夹路径 指定解压路径
    注意,指定解压路径时,必须是没有创建的文件夹,不然会报错。
    这里需要的用户密码就是上一题的Flag,将里面的空格改成下划线:W31C0M3_T0_THiS_34SY_F0R3NSiCX
    我使用解密脚本时,在kali里面一直报错,最后还是拖出来在Windows里面运行成功的
    py kobackupdec.py -vvv "W31C0M3_T0_THiS_34SY_F0R3NSiCX" "HUAWEI P40_2021-aa-bb xx.yy.zz" "HUAWEIFile"
    在这里插入图片描述
    解密出来有两个文件夹:
    在这里插入图片描述
    查看文件,找到flag图片:
    在这里插入图片描述
    第二问答案:NSSCTF{TH4NK Y0U FOR DECRYPTING MY DATA}

777sea
关注
  • 12
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
volatility安装+插件安装(mimikatz)
sbingmo的博客
07-11 1万+
volatility安装+插件安装(mimikatz)
volatility2 with mimikatz|装mimikatz插件踩的坑
Rainy_Madison的博客
09-03 1828
volatility插件mimikatz安装过程
volatility2 with mimikatz 装mimikatz插件踩的坑_volatility mimikatz(1)
最新发布
04-18 357
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
陇剑杯之第六题内存分析之学习
shy的博客
09-28 779
网管小王制作了一个虚拟机文件,让您来分析后作答: github上下载开元内存取证框架Volatility https://github.com/volatilityfoundation/volatility3/releases/tag/v1.0.1 使用imageinfo 获取系统信息。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
内存取证-Volatility安装使用以及一些CTF比赛题目
Bnessy
04-02 2万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
内存取证 volatility
07-12
内存取证 volatility
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集...内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
windows内存密码获取mimikatz_trunk
04-17
第一条:privilege::debug //提升权限 第二条:sekurlsa::logonpasswords https://github.com/gentilkiwi/mimikatz/releases/tag/2.1.1-20180325
内存取证volatility及案例演示
m0_46467017的博客
08-27 2924
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。若没有不会安装可以查看这篇文章内存取证-Volatility安装使用以及一些CTF比赛题目。......
linux证书存放路径,利用Tar和OpenSSL轻松加/解密文件和目录
weixin_29252859的博客
05-06 1657
众所周知要想保护数据的安全比较简单快捷的方法无疑是给文件和目录进行加密的操作。相比于Windows给文件和目录进行加/解密的操作,在Linux上进行加/解密文件和目录要复杂一点。那么我们到底有没有什么方法让我们在Linux中简单快捷的给文件和目录进行加/解密的方法呢?为此在本文中课课家笔者就为大家介绍利用Tar和OpenSSL加/解密文件和目录的方法给大家参考参考,希望能够提高大家的工作和学习效率...
tar加密文件
Learning
07-23 538
tar压缩且加密文件 openssl 对称加密算法enc命令详解
Docker打包images成tar包
kittycsv的专栏
06-15 1402
格式:docker save [REPOSITORY] -o [tar包存放路径] //-o :输出到的文件 eg:docker save 172.16.6.243:5000/data-center-service -o /home/data-center-service_v1.1.61.tar
理解镜像(images)和容器(containers)
PennJ的专栏
02-18 1万+
Docker Engine提供了Docker的核心技术: 图像(images)和容器(containers). 在安装教程的最后一步, 你运行了Engine命令docker run hello-world. 这一个命令,使Engine完成了Docker的核心任务, 该命令包含了三部分. 一个容器是一个精简版的Linux操作系统, 一个镜像是加载到这个容器的软件, 当你运行这个命令后, Engine会
Failed to import volatility.plugins.malware.apihooks (NameError: name 'distorm3' is not defined)
相信未来!
06-07 5022
转载地址:https://code.google.com/p/volatility/wiki/FullInstallation In this post I will share with you my first experiences working with Volatility 2.4. As first use I installed it on a OS X machine
反汇编引擎diStorm3
weixin_34291004的博客
06-09 213
2019独角兽企业重金招聘Python工程师标准>>> ...
windows2003内存取证
10-27
首先,需要使用内存取证工具,如Volatility Framework等,来对内存进行分析和提取。这些工具可以从内存镜像中提取出进程、线程、打开的文件、网络连接等信息,从而帮助取证人员获取到被研究系统的相关证据。 其次,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值