内存取证系列3

已于 2024-07-03 09:35:59 修改
阅读量373 收藏 2
点赞数
分类专栏: 调查取证 CTF 文章标签: volatility 内存取证 职业技能大赛 信息安全与评估 安全
于 2022-11-07 22:36:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30817059/article/details/127741090
版权

文档说明

作者:SwBack

时间:2022-5-6 15:06

说明:WP中关于flag的顺序并无排版,自行判别flag序列

挑战说明

  • 一个恶意脚本加密了我系统上的一条非常机密的信息。你能帮我恢复信息吗?
  • A malicious script encrypted a very secret piece of information I had on my system. Can you recover the information for me please?

注意1: 此挑战仅由 1 个标志组成。旗帜分成两部分。

注意2: 您需要标志的前半部分才能获得第二部分。

您将需要这个额外的工具来解决挑战,

$ sudo apt install steghide

本实验的标志格式为:inctf{s0me_l33t_Str1ng}

挑战文件:MemLabs_Lab3

解题过程

提取题目信息: 恶意脚本、steghide(图像/音频隐写工具)
steghide 工具隐写/提取 均需要密码 flag前部分应该为密码

flag前半部分

获取系统信息
volatility -f MemoryDump_Lab3.raw imageinfo

在这里插入图片描述

查看进程

发现ie浏览器 notepad等工具

volatility -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 pslist

在这里插入图片描述

查看浏览器记录

发现py脚本和一个txt

volatility -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 iehistory

在这里插入图片描述

搜索这两个文件
volatility -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep "vip.txt\|evilscript"

在这里插入图片描述

提取该文件
  volatility -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003de1b5f0 -D ./
  volatility -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003e727e50 -D ./

在这里插入图片描述

在这里插入图片描述

加密文本

am1gd2V4M20wXGs3b2U=

py脚本
import sys
import string
  
def xor(s):
  
        a = ''.join(chr(ord(i)^3) for i in s)
        return a
  
def encoder(x):
  
        return x.encode("base64")
  
if __name__ == "__main__":
  
        f = open("./vip.txt", "w")
  
        arr = sys.argv[0]
  
        arr = encoder(xor(arr))
  
        f.write(arr)
  
        f.close()

对其反过来操作即为解密

import sys
import string
def xor(s):
        a = ''.join(chr(ord(i)^3) for i in s)
        print a
def decode(x):
        return x.decode("base64")
if __name__ == "__main__":
	a = 'am1gd2V4M20wXGs3b2U='
	xor(decode(a))

解密得到flag前半部分inctf{0n3_h4lf

flag后半部分

上面获得flag前半部分,根据工具的特性获得后半部分

搜索图片/音频

根据所在目录判断得到一张图片

volatility -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep "gif\|png\|jpg\|jpeg\|mp3\|wav"

在这里插入图片描述

解密图片
steghide extract -sf 22.jpeg -p inctf{0n3_h4lf

在这里插入图片描述

拼合得到flag inctf{0n3_h4lf_1s_n0t_3n0ugh}

SwBack
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Memlab,一款分析 JavaScript 堆并查找浏览器和 Node.js 中内存泄漏的开源框架
o__cc的博客
09-16 917
Memlab 是一款 E2E 测试和分析框架,用于发现 JavaScript 内存泄漏和优化机会。 Memlab 是 JavaScript 的内存测试框架。它支持定义一个测试场景(使用 Puppeteer API),教 Memlab 如何与您的单页应用程序(SPA)交互,Memlab 可以自动处理其余的内存泄漏检查: 与浏览器交互并获取 JavaScript 堆快照 分析堆快照并过滤掉内存泄...
内存取证的框架
01-20
3. **恶意代码检测**:Volatility包含一系列插件,用于识别和分析内存中的恶意代码模式,如DLL注入、Rootkit、键盘记录器等。 4. **文件系统活动**:即使文件已被删除或覆盖,Volatility也能通过分析内存中残留的...
MemLab:用于查找JavaScript内存泄漏的开源框架
寒冰屋的专栏
01-13 651
​ 2020年,我们将Facebook.com重新设计为单页应用程序(SPA),它使用客户端JavaScript完成大部分渲染和导航。我们使用类似的架构来构建Meta的大多数其他流行网络应用,包括Instagram和Workplace。 ​
5.5 memlab内存泄漏检测
LetsStudy的博客
09-22 235
文档地址:How memlab Works | memlab
内存取证CTF-Memlabs靶场3
qq_42947816的博客
02-01 1578
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
内存取证CTF-Memlabs靶场2
qq_42947816的博客
02-01 1351
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
内存镜像转储取证
01-13
在网络安全事件、犯罪调查或恶意软件分析等场景下,内存取证能揭示系统中无法通过常规手段获取的信息。 标题中的"内存镜像转储取证"是指通过特定工具,如DumpIt.exe,将当前计算机的内存内容以原始(raw)格式保存...
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
波动性:高级内存取证框架
02-05
3. **内存分析**:Volatility 提供了一系列的命令来解析内存映像,这些命令可以用来识别活跃的进程、线程、模块、网络连接、注册表项等。例如,`pslist` 命令可以列出内存中的所有进程,而`modscan`则可以查找加载的...
毕设&课程作业_基于深度学习和内存取证技术的恶意软件检测框架.zip
01-16
【标题】中的“基于深度学习和内存取证技术的恶意软件检测框架”是一个综合性的项目,旨在利用现代机器学习,特别是深度学习技术,结合内存取证分析,来构建一个强大的恶意软件检测系统。深度学习是人工智能的一个...
内存取证CTF-Memlabs靶场5
qq_42947816的博客
02-01 1284
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
MeshLab基本使用方法
majunfu
06-14 2198
Meshlab基本用法
meshlab使用——窗口按钮
qq_40791099的博客
10-15 3634
转载:https://blog.csdn.net/qq_15262755/article/details/80352867 小白学习meshlab(1)——基本的edit工具学习 Ella_le
亚信安全发布2024年6月威胁态势,高危漏洞猛增60%
亚信安全官方账号的博客
07-04 324
亚信安全发布2024年6月威胁态势
构建安全稳定的应用:SpringSecurity实用指南
zhugedali_的博客
07-04 665
它涵盖了认证(Authentication)、授权(Authorization)、防止常见的安全攻击等多个方面,适用于各种类型的应用,包括 Web 应用、RESTful 服务、微服务等。- 生成认证对象:认证成功后,创建包含用户信息、角色和权限的 Authentication 对象,并存储在安全上下文中。- 加载用户角色和权限:除了基本的用户信息,还包括用户所拥有的角色和权限。- 认证请求处理:根据配置的认证方式,对用户提交的认证信息进行验证。
【易捷海购-注册安全分析报告】
weixin_46641057的博客
07-05 1164
易捷国际作为中石化易捷旗下专业跨境电商平台,大概是因为和阿里有战略合作层面的关系, 所以在选的不是常见的类似极验、腾讯等滑动拼图类产品, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
[图解]SysML和EA建模住宅安全系统-09-流程指南·分析系统需求
rolt的专栏
07-04 886
然后这一步,你看,这里有个决策点
[终端安全]-5 移动终端之操作系统安全
最新发布
wendywm0496的博客
07-08 643
每个应用程序运行在一个独立的进程中,通过操作系统的内存管理单元(MMU)实现自己独立的虚拟地址空间,通常从0开始到某个最大值(例如,32位系统上为4GB),这个空间是进程私有的,MMU负责将虚拟地址转换为物理地址。当操作系统在不同进程之间切换时,会切换当前的页表,通过改变MMU中存储的页表基地址(通常存储在寄存器中)来实现,这样进程A和进程B即使使用相同的虚拟地址,也会映射到不同的物理地址。当用户启动应用A时,操作系统会为其创建一个新的进程,该进程由应用A的UID 10001运行;
[图解]SysML和EA建模住宅安全系统-11-接口块
rolt的专栏
07-06 916
当然内部块图里面肯定要比这个丰富
windows2003内存取证
10-27
Windows 2003是微软公司发布的一款操作系统,其内存取证是指通过分析和提取Windows 2003操作系统的内存数据来获取相关的取证证据。 在进行Windows 2003内存取证的过程中,需要借助一些专门的工具和技术。首先,需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SwBack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值