CTF必备取证神器(volatility、PTF、取证大师、Magnet AXIOM)

最新推荐文章于 2025-03-13 11:13:43 发布
最新推荐文章于 2025-03-13 11:13:43 发布
阅读量4.7w 收藏 445
点赞数 124
分类专栏: # CTF 文章标签: python 开发语言 后端 取证 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q20010619/article/details/120914205
版权

在CTF比赛中好的工具往往能让解题变得顺利,在取证题中更是如此,神器让flag无处可藏

接下来会分别介绍几个取证工具安装和使用

  • volatility
  • PTF
  • 取证大师
  • Magnet AXIOM

volatility

Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态

vol 存在多个版本

  • exe封装版
  • python2版 https://github.com/volatilityfoundation/volatility
  • python3版 https://github.com/volatilityfoundation/volatility3
使用

使用的话 python 直接拿来用就行了,以提取vmem格式内存文件中的win密码为例,题目下载地址:https://www.aliyundrive.com/s/v2Bs9LFfBws

我使用的vol2既python2版本的

首先查看镜像信息

volatility -f Target.vmem imageinfo

image-20211022181940366

查看密码

volatility -f Target.vmem --profile=Win7SP1x64 hashdump

image-20211022182038008

使用插件mimikatz提取明文密码

kali自带的volatility安装插件
1.安装依赖库:sudo pip install construct==2.5.5-reupload
2.将解压后的py文件复制到原生插件所在的目录下面
/usr/lib/python2.7/dist-packages/volatility/plugins

volatility -f Target.vmem --profile=Win7SP1x64 mimikatz

image-20211022182149997

PTF

这是一个专门找密码的软件,相当于mimikatz

Passware Kit Forensic 2021

下载链接:https://www.aliyundrive.com/s/54Zr4hjdzhX

安装
看下同目录的txt文件
使用

以提取vmem格式内存文件中的win密码为例

因为vmem文件属于内存文件,所以选择Memory Analysis

image-20211022215504557

选择文件,选择系统版本,只选windows速度会快,点击next

image-20211022215542912

软件很快就跑出了密码

image-20211022215647832

取证大师

国产综合类取证工具

安装

安装前下载安装 revo,此工具会记录安装软件安装时注册表的变化,卸载软件时删除相关注册表,可以反复试用

image-20211022160237506

右击取证大师安装文件选择使用revo安装,安装结束后使用即可

使用

题目附件:https://pan.baidu.com/s/1XPGe-CeCrEVHHBads1U8jA

提取码:9k9n

下载解压,首先新建案例打开文件夹

image-20211022202834548

可以看到取证结果

Magnet AXIOM

国外的一款图形化取证工具,功能类似于取证大师

下载链接:https://www.aliyundrive.com/s/EpRbevKEUi5

安装

下载链接:

图形化安装很简单,安装后需要替换文件,把这两个文件夹复制到软件安装目录,全部替换

image-20211022175910355

使用

还是用上个附件

新建案例,选择证据源计算机,选择文件和文件夹

image-20211022191123126

选择合适系统,分析证据,分析过程中cpu占用比较大,时间也比较久

image-20211022213053868

时间是真的比较久

image-20211022213612645

总结下吧

  • volatility就是专用于内存取证的工具,非常的强大,其他几个软件内存分析也是基于volatility进行的
  • 其他三个工具都是综合的取证工具,可以用于内存取证也可以用于磁盘取证,整体功能比较强大,当然文件也是比较大,而且都需要一定程度的pojie才能使用
手机数据取证软件
seeddd2的专栏
04-10 3432
一、产品概况: 针对苹果、安卓等移动终端设备中的APP深度恢复并进行取证分析和生成法庭认可报告的专业取证工具套装。本产品配备便携式移动平台,便于携带,轻便小巧。它既可以用于犯罪现场,也可以用于电子证据实验室做后期的分析取证工作。系统使用数据线与设备连接进行自动取证工作,提取出的数据将被保存在设备中。在整个过程中对所有的证据使用MD5值进行校验,以防数据被损坏,确保符合司法规范。 ...
最新windows密码取证神器mimikatz
01-11
最新windows密码获取神器mimikatz,右键以管理员身份运行软件,依次输入两条命令 第一条:privilege::debug //提升权限 第二条:sekurlsa::logonpasswords //抓取密码
CTF内存取证入坑指南!稳!题目
03-28
内存取证类,了解到了一款牛逼的工具——Volatility
案例分析3.docx
06-15
一、实验项目名称 案例分析练习题3 二、实验目的 1、熟悉取证大师的使用。 2、使用取证大师加载磁盘镜像“Monkey.E01”,并对该镜像进行分析。 3. 对于相关案件背景的理解及关键词的选择。 4. 根据查找和发现线索描述泄密痕迹。 案件类型:泄密调查。 案件背景: 公司发现丢失一名为“EgisTec_ES603”的U盘,对张三电脑调查获取Monkey.E01,请对其进行分析,查找张三是否具有泄密资料嫌疑,如有,请描述其泄密痕迹,如资料接收者是谁,资料传输模式以及资金流转痕迹等。 调查要求: 通过镜像进行综合分析。 案件分析思路: 根据镜像中提取的信息自己归纳。
CTF比赛必备常用工具(附下载方式)
2402_84205067的博客
03-13 1133
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。主要包括六大类:PWN、CRYPTO(解密)、REVERSE(逆向)、WEB、MISC(杂项)其中,REVERSE(逆向)和MISC(杂项),在比赛中要使用大量的辅助工具,才能快速解题。本文章也主要聚焦这两类赛题的工具。网络安全产业就像一个江湖,各色人等聚集。
CTF取证类题目指南
01-09
CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是密码类赛题)。 取证作为CTF中的一大类题目,不完全包括安全产业中的实际工作,常见的与之相关的工作是事故相应。但即使在事故响应工作中,计算机取证也经常是执法部门获取证据数据和证物的工作,而非对防御攻击者或恢复系统感兴趣的商业事故相应企业。
春苗集中营重点记录(取证大师
m0_73605862的博客
09-03 1192
1.EFS(Encrypting File System,加密文件系统)是Windows操作系统中基于NTFS(New Technology File System,新技术文件系统)实现对文件进行加密与解密服务的一项技术。2.原始数据搜索:可以搜索文件内容(但是对于加密的压缩包,需要解密才能搜索到内容,不然是可以直接搜索压缩包的内容)3.步骤:导出密钥文件,右键已经被锁的磁盘,然后可以导入或者输入。TC:加密容器的使用痕迹,可以查找到加密文件,然后解开。1.浅色的是被恢复的分区。2.解密:需要恢复密钥。
Magnet AXIOM 8.4 Windows x64 数字取证分析软件(带补丁)
qq_55349490的博客
11-12 1910
链接:https://pan.baidu.com/s/1H8-CLbVEPn4Thx0RKb24zQ?通过百度网盘分享的文件:AXIOMv840.41469.zip。--来自百度网盘超级会员V5的分享。
Magnet Axiom 8.5 新增功能概览 (数字取证与分析软件)
sysin | SYStem INside
01-26 1059
Magnet Axiom 8.5 新增功能概览 (数字取证与分析软件)
CTF-安卓手机文件分析取证(陌陌发送的图片)
asd158923328的博客
08-22 564
根据题意 进入环境,下载文件,根据提示,找到图片文件名 依次进入mnt-shell-emulated-0-immomo-users-661453150-large,发现目标 验证文件名得到key
Magnet AXIOM 8.3.1 Windows x64 Multilingual - 数字取证与分析
sysin | SYStem INside
11-28 807
Magnet AXIOM 8.3.1 Windows x64 Multilingual - 数字取证与分析
Magnet AXIOM取证神器的安装使用方法及详细教程
Aluxian_的博客
02-06 6809
MAGNET AXIOM是一款集计算机取证分析、手机取证分析、云取证分析功能于一体的综合司法分析软件,其高级解析和数据挖掘技术可以从每个数据源中获得了最多的证据,以清晰、直观的方式呈现,并易于报告结果。此外,通过关联分析、时间线和Magnet.AI人工智能等功能,您可以自动创建属于自己的调查思路,从而在检验中取得重要突破。由计算机取证分析模块、手机取证分析模块以及AXIOMCLOUD云取证分析模块三个模块组成。
最强大的windows取证工具
01-09
该工具包中所包含的python代码支持对windows不同版本、linux以及android系统的取证分析,功能强大,包罗万象
X-WaysX.rar电子取证神器
04-05
取证神器X-Ways最新完整版,免加密狗 十分好用的上万元取证神器永久免费版 一工具搞定美亚杯
21美亚个人赛,工具用火眼和取证大师
热门推荐
2301_76717243的博客
04-14 1万+
62. [填空题] 阿力士FTP服务器用户输入了指令_____________去检查现存的Docker容器 (例如 netstat lntp,请输入 netstatlntp,不要输入空格) (3分)这个从第十题得到是BitLocker加密的,要解密就要找到密码,看modest——ybw的博客,里面说美亚有个功能,就是可以直接解析,在没把加密分区解出来的时候就可以通过爆搜找到,但我好像不行。(请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)(请以亚拉伯数字作答,省去“.”符号) (2分)
四种电子取证软件的比较
caoyongsheng的博客
09-02 9687
3)在证据处理速度方面,新版本Encase的“证据处理器(Evidence Processor)”具备多线程处理的功能,它不但能帮助用户自动化完成常用的取证任务,保证后期取证工作的顺利进行,而且调查人员还可以添加自定义的EnScript到证据处理器中,同时不必分别检查每一个EnScript的结果,调查人员还可以对EnScript结果建立索引,进行全局搜索,或查看某一特定EnSript的所有证据,这些改进,都能大大提高证据处理速度。2)将静态取证、自动取证和动态取证三种方式集成于一身,是该软件的一大优势。
取证导论 & Volatility入门使用——ctf公开课笔记记录
m0_75196987的博客
04-16 1030
取证导论 & Volatility入门使用。——来自 长空网络实验室。不建议广泛传播。
取证大师软件下载
最新发布
03-14
<think>好的,我现在需要处理用户关于下载取证大师软件的问题。首先,我得确定用户提到的“取证大师”具体指的是哪个软件。在数字取证领域,常见的软件包括Autopsy、FTK、EnCase等,但“取证大师”可能是一个中文翻译或特定品牌的名称。需要先确认用户指的是哪款软件,是否可能有不同的中文译名。 接下来,我会检查用户提供的引用内容。引用[2]和[3]提到了Autopsy,而引用[1]是关于MySQL版本的。用户可能将Autopsy称为“取证大师”,因为Autopsy在中文社区有时可能被称作“取证大师”或类似的名称。或者,用户可能指的是其他商业软件,比如“取证大师”可能是某个国内厂商的产品。 需要进一步分析。根据引用[3]中的内容,Autopsy被描述为“数字单机取证神器”,并且提到“常见的取证工具还有Volatility、AccessData FTK Imager等等”。这里没有提到“取证大师”这个名称,所以可能用户有特定的软件在寻找,但名称可能有误。 接下来,我应该考虑用户可能混淆了软件名称。比如,Autopsy的中文译名可能不是“取证大师”,而用户可能误称它为这个名称。或者,用户可能指的是其他软件,如“取证大师”是另一款工具,需要确认是否存在这样的官方软件。 然后,我需要建议用户确认软件的正确名称和官网。如果用户指的是Autopsy,那么引用[2]和[3]已经提供了相关信息,可以引导用户到Autopsy的官网下载。如果用户确实在寻找其他软件,比如国内的某个产品,可能需要进一步信息,但通常这类专业软件需要从官方网站或授权渠道获取。 另外,需要注意用户请求的是“官方版”,因此必须确保提供的下载链接是官方来源,避免推荐第三方或不可靠的下载站点,以确保软件的安全性和合法性。 总结步骤: 1. 确认用户所指的“取证大师”具体是哪款软件,可能存在的名称混淆。 2. 根据现有引用,Autopsy被多次提及,可能是用户所指的软件,但名称可能有误。 3. 建议用户核实软件的正确名称,并提供Autopsy的官方下载链接作为可能的解决方案。 4. 如果用户确实需要其他软件,提醒其访问官方网站或联系供应商获取正版。 5. 强调下载软件时注意来源的安全性,避免非官方渠道带来的风险。</think>根据您的需求,以下是对“取证大师”软件下载的指引: 1. **软件名称核实** 数字取证领域常见的开源工具是$Autopsy$(被部分中文用户称为“取证神器”),而商业工具如$AccessData\ FTK$或$EnCase$也有广泛应用。目前主流工具中并无直接以“取证大师”命名的官方软件,可能存在名称混淆或特定厂商的本地化译名。 2. **推荐解决方案** - 若您需要**免费开源工具**,建议下载$Autopsy$(符合引用[2][3]的描述): **官网地址**:https://www.autopsy.com/ ```bash # 下载前需安装Java环境 sudo apt install openjdk-11-jdk # Linux示例 ``` - 若需**商业软件**,可访问国际主流厂商官网: - $AccessData\ FTK$: https://www.exterro.com/ftk-imager - $EnCase\ Forensic$: https://www.opentext.com/products/encase-forensic 3. **安全提示** 所有取证软件均应通过**官方渠道**下载,避免第三方修改版本带来的数据篡改风险[^3]。
评论 43
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

OceanSec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值