内存取证系列2

已于 2023-07-05 11:06:21 修改
阅读量1.2k 收藏 2
点赞数 2
分类专栏: 调查取证 CTF 文章标签: 信息安全与评估 技能大赛 volatility 内存取证 安全
于 2022-11-07 22:28:53 首次发布
CC BY-NC 4.0
本文链接:https://blog.csdn.net/qq_30817059/article/details/127740912
版权

因为本地保存的图片,每次发出来,还需要一个一个重新上传校对,就很麻烦,文章6月就写完了。实在是上传太累了。

文章目录

文档说明

作者:SwBack
时间:2022-5-5 20:24
说明:WP中关于flag的顺序并无排版,自行判别flag序列

挑战说明

  • 我们公司的一位客户由于未知错误而失去了对其系统的访问权限。据推测,他是一位非常受欢迎的“环保”人士。作为调查的一部分,他告诉我们他的应用程序是浏览器,他的密码管理器等。我们希望你能深入这个内存转储并找到他的重要资料并将其归还给我们。

注意: 此挑战由 3 个标志组成。

  • One of the clients of our company, lost the access to his system due to an unknown error. He is supposedly a very popular “environmental” activist. As a part of the investigation, he told us that his go to applications are browsers, his password managers etc. We hope that you can dig into this memory dump and find his important stuff and give it back to us.

Note: This challenge is composed of 3 flags.

题目下载

解题过程

提取题目信息: environmental(环境)、浏览器、密码管理、资料

flag 1

查看系统
volatility -f Challenge.raw imageinfo

在这里插入图片描述

查看进程
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 pslist

重点关注进程: explorer.exe(文件资源管理器)、cmd.exe(命令提示符)、chrome.exe(浏览器)、KeePass.exe(密码管理工具)、notepad.exe(文本工具)
在这里插入图片描述

查看命令提示符输出信息

并未发现有用信息

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 cmdscan
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 consoles

在这里插入图片描述

查看命令行历史记录

发现 keeppass数据库存储文件

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 cmdline

在这里插入图片描述

查看数据库文件虚拟地址 并提取
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 filescan |grep "Hidden.kdbx"
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fb112a0 -D ./
john破解该文件

破解kdbx文件需要先通过keepass2john对数据进行处理

keepass2john file.None.0xfffffa8001593ba0.dat >keepHash
cat keepHash

在这里插入图片描述

密码破译不出来,怀疑密码以文件的形式存储在电脑上

扫描常见的文件格式

发现特殊图片

volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 filescan |grep "png\|gif\|zip\|rar\|jpg\|jpeg\|7z\|txt"

在这里插入图片描述

导出图片 发现密码
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fce1c70 -D ./

在这里插入图片描述

导入数据库 发现flag

在这里插入图片描述

flag 2

查看浏览器记录

iehistory 无法使用 工具自身并没有关于chrome浏览器的插件。
在github上找到了一款关于浏览器的插件

volatility --plugins=/plugins -f MemoryDump_Lab2.raw --profile=Win7SP1x64 chromehistory

发现一个链接 下载链接
在这里插入图片描述

下载下来是个压缩包,需要Lab-1的flag3的hash值作为密码 还需要是小写
在这里插入图片描述

lab-1 flag3 flag{w3ll_3rd_stage_was_easy}小写hash值为6045dd90029719a039fd2d2ebcca718439dd100a
解密得到flag
在这里插入图片描述

flag 3

查看环境变量
volatility -f MemoryDump_Lab2.raw --profile=Win7SP1x64 envars

在这里插入图片描述

解密得到flag

echo "ZmxhZ3t3M2xjMG0zX1QwXyRUNGczXyFfT2ZfTDRCXzJ9" |base64 -d

flag{w3lc0m3_T0_$T4g3_!_Of_L4B_2}

信息安全管理与评估赛题解析-内存取证(含环境)
Brucye
02-25 483
把flag.png文件修改一下文件名和后缀查看,发现是一半flag,另一个flag.txt文件应该是另一半,考虑用十六进制形式将两个文件进行拼接。注意:不要使用记事本,会卡住,建议使用notepad++Step1:找到对应DIP,下载DIP对应内容进行分析。Step3:下载两个flag文件分析。
内存取证入门第二题
admin的博客
07-06 870
题目链接。链接:https://pan.baidu.com/s/1bytz9mF_IOBrXY_NYtIgNQ--来自百度网盘超级会员V2的分享。
内存取证真题(使用volatility工具)
m0_57696734的博客
07-16 2379
内存取证
内存取证练习
SwBack的博客
05-10 774
题目描述 内存取证是一种比较主观性的题目 My friend John is an “environmental” activist and a humanitarian. He hated the ideology of Thanos from the Avengers: Infinity War. He sucks at programming. He used too many variables while writing any program. One day, John gave me
内存取证真题
苏生要努力
02-25 1207
背景:作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。应急响应阶段题目主要包含:Windows 内存镜像分析,Linux 内存镜像分析, 磁盘文件恢复,恶意程序分析等内容。
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
内存取证的框架
01-20
内存取证是一种重要的网络安全技术,主要用于检测和分析计算机系统中的恶意活动。它主要关注的是系统运行时的状态,即内存中的信息,因为很多恶意软件为了逃避传统静态分析,会选择在内存中执行其恶意行为。"内存...
波动性:高级内存取证框架
02-05
2. **RAM取证**:内存取证是对计算机运行时内存状态的分析,它能够捕获到传统磁盘取证无法获得的信息,如临时文件、活动进程、网络连接、密码和解密后的敏感数据。Volatility 可以提取这些关键信息,即使在系统关机...
识“黑”寻踪之内存取证.pdf
08-08
内存取证是一种专业性较强的电子数据取证技术,它的核心在于获取和分析计算机系统中易失性内存(RAM)的数据。易失性内存是存储于计算机内存芯片中的数据,在断电后会立即消失,因此,它为取证分析带来了极大的挑战...
基于云计算的内存取证溯源与追踪技术.pptx
最新发布
05-26
针对上述挑战,研究人员提出了一系列内存取证溯源技术: 1. **基于虚拟化技术的内存取证溯源**: - **虚拟机监控程序(VMM)**:作为虚拟机与硬件之间的中间层,VMM能够捕获虚拟机内存活动信息,为内存取证提供...
第46届金砖国家世界技能大赛湖北省选拔赛 内存取证样题一
weixin_54517170的博客
08-02 794
内存取证类题
内存取证volatility(例题[护网杯]Easy_dump)
苏生要努力
02-27 875
上面英文翻译结果如下,这是一个维吉尼亚密码,秘钥是aeolus,有了加密方式,有了秘钥,需要密文。在这里发现这个notepad.exe ,想到看记事本里面的内容,寻找线索。6 检查phos.jpg图片,图片无法查看,使用binwalk查看。在2616.dmp里面直接搜flag有关的信息,得到下一个提示是。8 怀疑这些数字是坐标,于是上脚本转换一下试试 ,得到二维码图片。寻找到一个.swp文件,如果熟悉它,知道是中断文件,直接恢复。文件,再次使用binwalk工具提取里面的文件。,即可得到隐藏在里面的。
计算机取证试题,电子数据取证工作试题.doc
weixin_42405705的博客
07-09 1617
文档介绍:电子数据取证工作试题.doc电子数据取证工作试题一、单选CPU的中文含义是 oA主机B中央处理器C运算器D控制器DOS命令实质上就是一段 oA数据B可执行程序C数据库D计算机语言E01的块数据校验采用ACRC算法BMD5算法CSHA-1算法DSHA-2算法E01证据文件分卷大小默认为A4.7GB600MC640MD700MFAT文件系统中,当用户按Shift+Del删除该文件后,以下描述...
某省内存取证真题详解
苏生要努力
03-07 1162
需要环境的私我题目描述:一,从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password}形式提交(密码为6位)二,获取当前系统ip地址及主机名,以Flag{ip:主机名}形式提交;三,当前系统中存在的挖矿进程,请获取指向的矿池地址,以Flag{ip}形式提交四,恶意进程在系统中注册了服务,请将服务名以Flag{服务名}形式提交五,从内存文件中获取黑客进入系统后下载的flag文件,将文件中的值作为Flag值提交。
OtterCTF—内存取证wp
m0_66638011的博客
05-09 5639
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
基于云计算的内存取证方法的比较与优化.pptx
05-26
在云计算环境下,内存取证面临着一系列挑战,包括但不限于虚拟化环境中的数据保护、取证过程中对系统性能的影响以及数据隐私等问题。当前的云内存取证方法主要包括基于虚拟机监控的技术、基于虚拟机快照的技术、基于...
[ctf misc][wp]一些内存取证的wp(含[2021蓝帽杯北部赛区分区赛]博人的文件)
ShenZ的博客
07-20 5143
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 volatility.exe -f C:\Users\shen\Downloads\mem.raw --profile=Win7SP1x86_23418 pslist > pslist.txt 从后向前看,最后是内存镜像固定用的dumpit软件和windows运行后台的exe,再上面有三个进程值得注意
php 计算取证,CTF内存取证入门(以安洵杯为例)
weixin_39860757的博客
03-13 448
[Asm] 纯文本查看 复制代码root@kali:~# volatility -f /root/桌面/mem.dump --profile=Win7SP1x64 pslistVolatility Foundation Volatility Framework 2.6Offset(V) Name PID PPID Thds H...
中科磐云 内存取证.zip
10-14
磐云内存取证题目 2021中职 网络安全 试题4
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SwBack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值