内存取证系列3

已于 2024-07-03 09:35:59 修改
阅读量375 收藏 2
点赞数
分类专栏: 调查取证 CTF 文章标签: volatility 内存取证 职业技能大赛 信息安全与评估 安全
于 2022-11-07 22:36:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30817059/article/details/127741090
版权

文档说明

作者:SwBack

时间:2022-5-6 15:06

说明:WP中关于flag的顺序并无排版,自行判别flag序列

挑战说明

  • 一个恶意脚本加密了我系统上的一条非常机密的信息。你能帮我恢复信息吗?
  • A malicious script encrypted a very secret piece of information I had on my system. Can you recover the information for me please?

注意1: 此挑战仅由 1 个标志组成。旗帜分成两部分。

注意2: 您需要标志的前半部分才能获得第二部分。

您将需要这个额外的工具来解决挑战,

$ sudo apt install steghide

本实验的标志格式为:inctf{s0me_l33t_Str1ng}

挑战文件:MemLabs_Lab3

解题过程

提取题目信息: 恶意脚本、steghide(图像/音频隐写工具)
steghide 工具隐写/提取 均需要密码 flag前部分应该为密码

flag前半部分

获取系统信息
volatility -f MemoryDump_Lab3.raw imageinfo

在这里插入图片描述

查看进程

发现ie浏览器 notepad等工具

volatility -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 pslist

在这里插入图片描述

查看浏览器记录

发现py脚本和一个txt

volatility -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 iehistory

在这里插入图片描述

搜索这两个文件
volatility -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep "vip.txt\|evilscript"

在这里插入图片描述

提取该文件
  volatility -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003de1b5f0 -D ./
  volatility -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003e727e50 -D ./

在这里插入图片描述

在这里插入图片描述

加密文本

am1gd2V4M20wXGs3b2U=

py脚本
import sys
import string
  
def xor(s):
  
        a = ''.join(chr(ord(i)^3) for i in s)
        return a
  
def encoder(x):
  
        return x.encode("base64")
  
if __name__ == "__main__":
  
        f = open("./vip.txt", "w")
  
        arr = sys.argv[0]
  
        arr = encoder(xor(arr))
  
        f.write(arr)
  
        f.close()

对其反过来操作即为解密

import sys
import string
def xor(s):
        a = ''.join(chr(ord(i)^3) for i in s)
        print a
def decode(x):
        return x.decode("base64")
if __name__ == "__main__":
	a = 'am1gd2V4M20wXGs3b2U='
	xor(decode(a))

解密得到flag前半部分inctf{0n3_h4lf

flag后半部分

上面获得flag前半部分,根据工具的特性获得后半部分

搜索图片/音频

根据所在目录判断得到一张图片

volatility -f MemoryDump_Lab3.raw --profile=Win7SP1x86_23418 filescan |grep "gif\|png\|jpg\|jpeg\|mp3\|wav"

在这里插入图片描述

解密图片
steghide extract -sf 22.jpeg -p inctf{0n3_h4lf

在这里插入图片描述

拼合得到flag inctf{0n3_h4lf_1s_n0t_3n0ugh}

SwBack
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Memlab,一款分析 JavaScript 堆并查找浏览器和 Node.js 中内存泄漏的开源框架
o__cc的博客
09-16 920
Memlab 是一款 E2E 测试和分析框架,用于发现 JavaScript 内存泄漏和优化机会。 Memlab 是 JavaScript 的内存测试框架。它支持定义一个测试场景(使用 Puppeteer API),教 Memlab 如何与您的单页应用程序(SPA)交互,Memlab 可以自动处理其余的内存泄漏检查: 与浏览器交互并获取 JavaScript 堆快照 分析堆快照并过滤掉内存泄...
内存取证的框架
01-20
3. **恶意代码检测**:Volatility包含一系列插件,用于识别和分析内存中的恶意代码模式,如DLL注入、Rootkit、键盘记录器等。 4. **文件系统活动**:即使文件已被删除或覆盖,Volatility也能通过分析内存中残留的...
MemLab:用于查找JavaScript内存泄漏的开源框架
寒冰屋的专栏
01-13 657
​ 2020年,我们将Facebook.com重新设计为单页应用程序(SPA),它使用客户端JavaScript完成大部分渲染和导航。我们使用类似的架构来构建Meta的大多数其他流行网络应用,包括Instagram和Workplace。 ​
5.5 memlab内存泄漏检测
LetsStudy的博客
09-22 236
文档地址:How memlab Works | memlab
内存取证CTF-Memlabs靶场3
qq_42947816的博客
02-01 1579
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
内存取证CTF-Memlabs靶场2
qq_42947816的博客
02-01 1360
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
内存镜像转储取证
01-13
在网络安全事件、犯罪调查或恶意软件分析等场景下,内存取证能揭示系统中无法通过常规手段获取的信息。 标题中的"内存镜像转储取证"是指通过特定工具,如DumpIt.exe,将当前计算机的内存内容以原始(raw)格式保存...
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
波动性:高级内存取证框架
02-05
3. **内存分析**:Volatility 提供了一系列的命令来解析内存映像,这些命令可以用来识别活跃的进程、线程、模块、网络连接、注册表项等。例如,`pslist` 命令可以列出内存中的所有进程,而`modscan`则可以查找加载的...
毕设&课程作业_基于深度学习和内存取证技术的恶意软件检测框架.zip
01-16
【标题】中的“基于深度学习和内存取证技术的恶意软件检测框架”是一个综合性的项目,旨在利用现代机器学习,特别是深度学习技术,结合内存取证分析,来构建一个强大的恶意软件检测系统。深度学习是人工智能的一个...
内存取证CTF-Memlabs靶场5
qq_42947816的博客
02-01 1285
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
MeshLab基本使用方法
majunfu
06-14 2230
Meshlab基本用法
meshlab使用——窗口按钮
qq_40791099的博客
10-15 3651
转载:https://blog.csdn.net/qq_15262755/article/details/80352867 小白学习meshlab(1)——基本的edit工具学习 Ella_le
自建SMTP服务器:如何保障安全稳定的发信?
danplus的博客
07-17 383
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 517
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
最新发布
Thewei666的博客
07-17 748
区分不同的签名。
安全防御-用户认证综合实验
weixin_69863399的博客
07-12 474
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 417
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
HLS加密技术:保障流媒体内容安全的利器
jiamisoft的博客
07-17 700
HLS是一种由苹果公司提出的基于HTTP的流媒体网络传输协议,它允许将音视频文件编码为可播放的多媒体流,并通过HTTP协议进行传输。这种传输方式不仅具有广泛的网络适应性,还支持自适应比特率和分辨率,从而为用户提供流畅的观看体验。然而,HLS本身并不包含专门的加密方式,需要配合其他加密和防护措施来实现内容的安全传输。HLS加密技术的核心思想是将视频流分段,并对每个分段进行加密处理。在客户端播放时,需要先获取解密密钥才能正常播放。
windows2003内存取证
10-27
Windows 2003是微软公司发布的一款操作系统,其内存取证是指通过分析和提取Windows 2003操作系统的内存数据来获取相关的取证证据。 在进行Windows 2003内存取证的过程中,需要借助一些专门的工具和技术。首先,需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SwBack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值