题目介绍
这道题目,是一道非常典型的内存取证的题目,相信会了这道题目,大家会对内存取证更加喜欢。
[HDCTF2019]你能发现什么蛛丝马迹吗
下载文件一看就是一个内存取证的题目,我们先看看版本
:volatility.exe -f memory.img imageinfo
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search…
Suggested Profile(s) : Win2003SP0x86, Win2003SP1x86, Win2003SP2x86
AS Layer1 : IA32PagedMemoryPae (Kernel AS)
AS Layer2 : FileAddressSpace (E:\桌面\CTF工具包[内存取证]volatility\memory.img)
PAE type : PAE
DTB : 0xe02000L
KDBG : 0x8088e3e0L
Number of Processors : 1
Image Type (Service Pack) : 1
KPCR for CPU 0 : 0xffdff000L
KUSER_SHARED_DATA : 0xffdf0000L
Image date and time : 2019-04-25 08:43:06 UTC+0000
Image local date and time : 2019-04-25 16:43:06 +0800
知道了他是2003sp系统
:volatility.exe -f memory.img --profile=Win2003SP2x86 pslist
Volatility Foundation Volatility Framework 2.6
Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit 0x81f8f020 System 4 0 56 319 ------ 0
0xfe2f8448 smss.exe 380 4 3 18 ------ 0 2018-12-07 16:20:54 UTC+0000
0xfe2caa60 csrss.exe 516 380 12 509 0 0 2018-12-07 16:21:00 UTC+0000
0xfe304298 winlogon.exe 580 380 25 504 0 0 2018-12-07 16:21:04 UTC+0000
0xfe2fdd88 services.exe 648 580 16 303 0 0 2018-12-07 16:21:05 UTC+0000
0xfe2e5530 lsass.exe 660 580 38 458 0 0 2018-12-07 16:21:05 UTC+0000
0xfe2f9290 vmacthlp.exe 880 648 1 26 0 0 2018-12-07 16:21:06 UTC+0000
0xfe34d658 svchost.exe 932 648 6 93 0 0 2018-12-07 16:21:07 UTC+0000
0xfde05020 svchost.exe 984 648 10 268 0 0 2018-12-07 16:21:07 UTC+0000
0xfddf4c08 svchost.exe 1040 648 10 138 0 0 2018-12-07 16:21:08 UTC+0000
0xfddeb020 svchost.exe 1072 648 15 168 0 0 2018-12-07 16:21:08 UTC+0000
0xfdde9a70 svchost.exe 1096 648 79 1271 0 0 2018-12-07 16:21:08 UTC+0000
0x81e5a7d0 spoolsv.exe 1668 648 14 151 0 0 2018-12-07 16:21:26 UTC+0000
0xfe7385e8 msdtc.exe 1700 648 16 166 0 0 2018-12-07 16:21:26 UTC+0000
0xfddb7b18 svchost.exe 1800 648 2 54 0 0 2018-12-07 16:21:27 UTC+0000
0xfddb1020 svchost.exe 1848 648 2 37 0 0 2018-12-07 16:21:27 UTC+0000
0xfdda8020 VGAuthService.e 1920 648 2 65 0 0 2018-12-07 16:21:28 UTC+0000
0xfdc6eb18 vmtoolsd.exe 300 648 8 244 0 0 2018-12-07 16:21:36 UTC+0000
0xfe3d5600 svchost.exe 484 648 16 135 0 0 2018-12-07 16:21:40 UTC+0000
0xfe3d4cb0 dllhost.exe 736 648 22 239 0 0 2018-12-07 16:21:41 UTC+0000
0xfe30ed88 dllhost.exe 1052 648 22 236 0 0 2018-12-07 16:21:42 UTC+0000
0xfdc40638 wmiprvse.exe 1368 932 9 215 0 0 2018-12-07 16:21:44 UTC+0000
0xfdc1bb18 explorer.exe 1992 1664 16 386 0 0 2018-12-07 16:21:50 UTC+0000
0xfdc1ad88 vssvc.exe 2040 648 7 112 0 0 2018-12-07 16:21:51 UTC+0000
0xfdbd3418 vmtoolsd.exe 1596 1992 6 166 0 0 2018-12-07 16:22:01 UTC+0000
0xfdbd2110 ctfmon.exe 1840 1992 1 69 0 0 2018-12-07 16:22:01 UTC+0000
0xfdbbc330 conime.exe 1792 1636 1 32 0 0 2018-12-07 16:22:16 UTC+0000
0xfdba5320 wmiprvse.exe 1128 932 8 165 0 0 2018-12-07 16:22:24 UTC+0000
0xfdb90930 wuauclt.exe 2224 1096 5 116 0 0 2018-12-07 16:22:44 UTC+0000
0xfdb6a638 DumpIt.exe 3660 1992 1 26 0 0 2019-04-25 08:43:04 UTC+0000
当中能看到可疑的
0xfdbd2110 ctfmon.exe 1840 1992 1 69 0 0 2018-12-07 16:22:01 UTC+0000
不过创建时间有的久远,我们看看别的,最新的是
0xfdb6a638 DumpIt.exe 3660 1992 1 26 0 0 2019-04-25 08:43:04 UTC+0000
这个东西是一个内存取证的软件
在看看截图
volatility.exe -f memory.img --profile=Win2003SP2x86 screenshot --dump-dir=./
再截图看见,他曾经打开过一个图片叫flag.png
在通过全盘搜索,导出图片
volatility -f memory.img --profile=Win2003SP2x86 filescan|grep flag
这一条是在内存文件中寻找带有flag的文件
volatility -f memory.img --profile=Win2003SP2x86 dumpfiles -Q 0x000000000484f900 -D ./ -u
根据内存地址取出文件
jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=
这是扫描出来的东西
我们来看一下这期间,打开过什么软件
volatility -f memory.img --profile=Win2003SP2x86 windows
找到一个关于flag的他当时使用了explorer软件这是一个文件资源器,然后我们看懂了PID:1992 下载一下
volatility -f memory.img --profile=Win2003SP2x86 memdump -p 1992 -D ./
我们分离一下发现了,
密文:jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=
key: Th1s_1s_K3y00000
iv: 1234567890123456
到这里为止我们得到了这个,我们知道了是aes
![[外链图片转存中...(img-ODBNbLz0-1608018449945)]](https://i-blog.csdnimg.cn/blog_migrate/327287c80cdb76dcfabb44a2743bfcfc.png)
flag{F0uNd_s0m3th1ng_1n_M3mory}
603
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
