作者:Swback
知乎:https://www.zhihu.com/people/back-88-87
CSDN:https://blog.csdn.net/qq_30817059
46届世界技能大赛湖北省选拔赛 内存取证 volatility3.0解题
任务(一) 获取admin用户密码是多少 ?
#通过lsadump 直接获取flag
python3 tools/volatility3/vol.py -f /root/1/worldskills3.vmem windows.lsadump
任务(二) 获ip和主机名是什么?
#通过网络连接得到主机IP地址
python3 ../volatility3-1.0.0/vol.py -f worldskills3.vmem windows.netscan
#通过环境变量获取主机名
python3 ../volatility3-1.0.0/vol.py -f worldskills3.vmem windows.envars
任务(三) 获取桌面上的 flag.txt中的文件内容是什么
#获取文件地址
python3 ../volatility3-1.0.0/vol.py -f worldskills3.vmem windows.filescan |grep "flag.txt"
#导出并查看文件
python3 ../volatility3-1.0.0/vol.py -f worldskills3.vmem windows.dumpfiles --physaddr="0x7f1b6c10"
任务(四) 服务器中存在一个挖矿病毒 矿池地址是?
#通过之前查看netscan 获取到一个正在连接的地址
54.36.109.161
任务(五)恶意代码在系统中注册了服务 服务名是什么?
#在上面一题得到恶意进程PID为2588,通过下面命令得到父进程PID为3036
python3 ../volatility3-1.0.0/vol.py -f worldskills3.vmem windows.pstree
#通过父进程PID 3036得到服务名 VMnetDHCP
python3 ../volatility3-1.0.0/vol.py -f worldskills3.vmem windows.svcscan |grep 3036
任务(六) 获取恶意代码的进程名pid
3036
任务(七) 病毒在自我删除时执行的命令是什么?(病毒进入系统后会删除原始文件,请获取文件删除时执行的命令)
#导出病毒数据 默认导出了大量数据,而我们只需要关键信息即可
python3 tools/volatility3/vol.py -f /root/1/worldskills3.vmem windows.dumpfiles --pid 3036