[RoarCTF2019]forensic(内存取证)

最新推荐文章于 2024-05-12 23:00:23 发布
最新推荐文章于 2024-05-12 23:00:23 发布
阅读量1.6k 收藏 7
点赞数 2
分类专栏: ctfWP 自己的笔记 文章标签: 取证 ctf unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20533167/article/details/117260466
版权

volatility

基本思路:先看看操作系统,然后查一下进程和内存信息,把可能有问题的dump出来,然后借助linux本身的一些工具分析。

首先用      volatility -f ./mem.raw imageinfo   查看系统信息

这里重点关注 Suggest Profilesdata and time

然后看一下进程信息

volatility -f ./mem.raw pslist --profile=Win7SP1x86

这四个进程对应的是最可能存在问题的用户创建的进程

可以直接dump或者用userassist,如果对应进程不能导出文件,会提示none

这里暂且一放,先看一下文件情况。

volatility -f ./mem.raw --profile=Win7SP1x86 filescan |grep -E 'png|jpg|gif|zip|rar|7z|pdf|txt|doc'

这个应该是   mspaint.exe(画图)新创建的文件。把它先dump出来,看一下。

volatility -f ./mem.raw --profile=Win7SP1x86 dumpfiles -Q 0x000000001efb29f8 --dump-dir /root/111/

我导出到  /root/111/然后

但是这个不是flag,继续看下去。

这个极大可能是一个秘钥,那另一个需要的东西会是个加密的,无非现在只能是加密软件或者压缩包。

继续回去找。

既然有dumpit的内存,那应该会有他生成的文件,搜素一下。

查了一下dumpit生成的文件后缀是raw,搜索一下

volatility -f ./mem.raw --profile=Win7SP1x86 filescan |grep -E "raw"

发现桌面上有东西

还是导出文件看一下

volatility -f mem.raw --profile=Win7SP0x86 memdump -p 3524 -D ./

foremost分离一下

1YxfCQ6goYBD6Q刚才那张图

 

 

 

 

 

 

 

 

 


 

 

4pri1
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
[ctf Misc][RoarCTF2019]forensic +内存取证
ShenZ的博客
09-09 2246
这题蛮鬼的,就,没有捷径,捷径导出文件一定是坏的 附件:mem.raw [RoarCTF2019]forensic 1.volatility处理 λ volatility_2.6_win64_standalone.exe -f xxx7\Compressed\mem.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based o
2021寒假MISC打卡DAY17
煤矿路口西的博客
03-05 372
[V&N2020 公开赛]内存取证 http://dd.zhaoj.in/3ehg38dgey84d3dhou32d3/mem.raw 得到的 flag 请包上 flag{} 提交。 Hint:记事本 这是一道复现地很费劲的题???? 得到mem.raw和VOL(VOL对应后面链接失效的地方,按下不表) 内存取证起手式: volatility -f mem.raw imageinfo 得到可能版本后 volatility -f mem.raw --profile=Win7SP1x
BUUCTF [RoarCTF2019]forensic
../../../../../../../
10-12 1321
打开 下载到mem.raw 把mem.raw放入kali volatility查看镜像 volatility -f mem.raw imageinfo 建议用profile, 后面用Win7SP1x86 查看内存进程: volatility -f men.raw pslist --profile Win7SP1x86 发现有几个进程 了解发现: TrueCrypt.exe是一款磁盘加密工具,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。 notepad.exe windows自带记事本
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
最新发布
2401_84296945的博客
05-12 958
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Memory Forensics (内存取证)
zip471642048的博客
05-22 1043
文章目录Memory Forensics1 - What the password? Memory Forensics 1 - What the password? volatility -f OtterCTF.vmem imageinfo 查看rick的hash密码值然后拿去cmd5解密发现解不出来 518172d012f97d3a8fcc089615283940没解出来,用lsadump这个也是用来提取hash的 ...
BUUCTF:[RoarCTF 2019]PHPShe
末初的CSDN博客
07-24 1662
BUUCTF:[RoarCTF 2019]PHPShe
EnCase-Forensic取证软件完整版资料.ppt
11-14
EnCase-Forensic取证软件完整版资料 EnCase Forensic是Guidance Software公司开发的一款计算机取证软件,旨在提供计算机犯罪取证的全面解决方案。该软件提供实时预览、分析和获取,符合美国立法规范,全球最大的...
Hit:Linux在线内存取证平台(Live Memory Forensic Tools Based on Linux for Rapid Response)
05-24
Hit Linux在线内存取证平台(Live Memory Forensic Tools Based on Linux for Rapid Response) by Zing
Android智能手机动态内存取证技术综述.pdf
09-21
2. FROST及其改进方法:FROST(Forensic Recovery of Scrambled Telephones)是一种Android智能手机动态内存取证工具,能够恢复和分析动态内存中的敏感数据。其改进方法包括基于FROST的可扩展内存取证框架、基于...
手机取证指南cell_forensic
04-11
手机取证的英文指南,收录了许多和手机取证有关的资料
Multicampus_Digital_Forensic:Multicampus数字取证
02-12
프로젝트 FT지능을MFT실시간 진이브에파일파일파일를를진진진진진진탐탐탐 프로젝트 MFT,NFTS和其他应用商店,,,,,,,,,, MFT在FTKImager和AnaylzeMFT之间进行了下载。 기획 정알아내려면호스트에서이...
CTFlearn 网站的Writeup (easy 1)
12-21
国内的大部分CTF练习平台都是收费的,搜来搜去找到了一个国外的提供免费练习的网站https://ctflearn.com/ ,于是尝试开始做题。下面是记录。 1、Taking LS 解压后的pdf有密码,密码在隐藏文件夹里面,打开pdf即可见:ABCTF{T3Rm1n4l_is_C00l} 2、Basic Injection 查看源码,发现有这句话 尝试前面几个用户名均为空,到Luke发现有返回。于是构建如下注入语句。 a' or '1'='1 发现返回 th4t_is_why_you_n33d_to_sanitiz3_inputs 即为flag。 3、Forensics 101 直接
第二周——学习内存取证神器volatility的使用
weixin_43721828的博客
03-18 2280
第二周——学习内存取证神器volatility的使用 volatility -f mem.raw imageinfo#这个命令可以用来获取内存镜像的摘要信息,比如系统版本,硬件构架等 第一个就是最有可能的镜像文件的版本,最可能是Win7SP1x86_23418 Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search...
BUUCTF MISC刷题笔记(五)
volcano的博客
05-10 3478
BUUOJMisc[MRCTF2020]摇滚DJ(建议大声播放 Misc [MRCTF2020]摇滚DJ(建议大声播放
BUUCTF Misc 弱口令 & [RoarCTF2019]黄金6年 & 小易的U盘 & [WUSTCTF2020]alison_likes
网安小趴菜
12-27 1706
BUUCTF Misc 弱口令 & [RoarCTF2019]黄金6年 & 小易的U盘 & [WUSTCTF2020]alison_likes wp
forensics-靶机
薛定谔嘚喵博客
04-14 452
1.信息收集发现80和22端口80中源码包含敏感目录,查看敏感目录发现图片,在kali中使用exiftool查看图片属性拿到flagdirb扫描txt后缀目录,发现敏感目录,里面后一个zip包和一个PGP的私钥+密文,在线PGP解密后,解压缩zip包发现flag以及DMP文件2.shell权限使用mimikatz打开DMP文件,发现用户+密码,解密密码后,ssh登录。
RoarCTF2019部分Writeup
Sea_Sand息禅
11-29 783
Easy Calc 页面源码线索中得到calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"'...
内存取证篇】内存取证工具-DumpIt
蘇小沐的电子数据取证博客
11-29 7468
内存取证篇】内存取证工具-DumpIt DumpIt内存取证小工具,小体积大用途,一步制作计算机内存镜像—【suy】 一、DumpIt特点 1、用于生成Windows计算机的物理内存转储 运行环境:32位、64位计算机。 2、原始内存转储在当前目录中生成 镜像保存路径:DumpIt软件所在位置,启动前仅提示确认问题。 3、便携性 便携性:可完美地部署在USB闪存盘上,快速响应事件。 二、DumpIt运行界面 双击软件即可运行,输入“y”,即开始制作当前机器的内存镜像。 内存镜像默认保存在“DumpIt软
Oxygen Forensic
07-28
Oxygen Forensic是一个用于手机上的取证套件,用于收集设备的各种信息,包括制造商、操作系统、IMEI号码、序列号等。它还可以收集联系人、消息(电子邮件、短信、彩信)、已删除的消息、通话记录和日历信息。\[1\]根据引用\[2\]和引用\[3\]的描述,铁锈制氧和电解器高压制氧是两种制氧的原理,与Oxygen Forensic无直接关系。 #### 引用[.reference_title] - *1* [22款受欢迎的计算机取证工具](https://blog.csdn.net/business122/article/details/78248810)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Oxygen Not Included](https://blog.csdn.net/qq_31347869/article/details/99694135)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值