内存取证系列4

最新推荐文章于 2024-04-13 13:06:40 发布
最新推荐文章于 2024-04-13 13:06:40 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: 调查取证 CTF 文章标签: volatility 内存取证 信息安全与评估 技能大赛 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30817059/article/details/127741146
版权

文档说明

作者:SwBack

时间:2022-5-6 20:16

本次做题收获:人与人之间的volatility并不相同。

挑战说明

  • My system was recently compromised. The Hacker stole a lot of information but he also deleted a very important file of mine. I have no idea on how to recover it. The only evidence we have, at this point of time is this memory dump. Please help me.

Note: This challenge is composed of only 1 flag.

The flag format for this lab is: inctf{s0me_l33t_Str1ng}

挑战文件:MemLabs_Lab4

解题过程

重点在于被删除了,首先我们要确定被删除的文件是什么.

查看系统镜像
volatility -f MemoryDump_Lab4.raw imageinfo

在这里插入图片描述

查看系统进程

发现浏览器进程

volatility -f MemoryDump_Lab4.raw --profile=Win7SP1x64 pslist

在这里插入图片描述

查看浏览器记录

自己未查出东西,但是做完之后搜了下wp发现别人都是iehistory出来的,少走了很多弯路

volatility -f MemoryDump_Lab4.raw --profile=Win7SP1x64 iehistory

在这里插入图片描述

查看文件

因为并未知道文件名是什么,只能根据经验盲猜. 匹配了常见文件后缀及目录
收获如下

虚拟地址目录及文件名
0x000000003e8ad250\Desktop\galf.jpeg
0x000000003e8d19e0\Desktop\Screenshot1.png
0x000000003fc398d0\Desktop\Important.txt
 volatility -f MemoryDump_Lab4.raw --profile=Win7SP1x64 filescan | grep "gif\|png\|jpg\|jpeg\|zip\|rar\|7z\|Desktop\|Download\|Documents\|Favorites\|Music\|Videos\|Links"

实际上看到Important应该先看这个文件的,但实际做的时候,一开始并未匹配目录,再复习的时候才直接在匹配中添加了目录。一个个来看.

导出第一个文件(galf.jpeg)

文件名倒过来就是flag.jpeg

volatility -f MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e8ad250 -D ./

在这里插入图片描述

对图片进行分析过后,发现并无异常。

导出第二个文件(Screenshot1.png)

在这里插入图片描述

看着是高度被隐藏了
在这里插入图片描述

修改16进制,将高度调高
在这里插入图片描述

并没有flag
在这里插入图片描述

导出第三个文件(Important.txt)

执行完发现并未有文件被导出(因为文件已经被删除了)

volatility -f MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fc398d0 -D ./
获取flag

想要读取一个被删出的文件内容,volatility 本身是具备这么个功能,虽然有点限制,但是在这里明显够用。
主要是因为window下的MFT 具体的说明及其与数据恢复的关系放个链接

简述 文件被删除后,如果MFT的数据没有被擦除,基本上都可以恢复。(不大于1024字节)

直接匹配该文件,通过MFT的$DATA区可以看到被删除的txt文本内容就是flaginctf{1_is_n0t_EQu4l_7o_2_bUt_th1s_d0s3nt_m4ke_s3ns3}

volatility -f MemoryDump_Lab4.raw --profile=Win7SP1x64 --profile=Win7SP1x64 mftparser |grep -A 40 "Important.txt"

在这里插入图片描述

SwBack
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
内存取证的框架
01-20
内存取证是一种重要的网络安全技术,主要用于检测和分析计算机系统中的恶意活动。它主要关注的是系统运行时的状态,即内存中的信息,因为很多恶意软件为了逃避传统静态分析,会选择在内存中执行其恶意行为。"内存...
[青少年CTF]-MISC WP(一)
qq_45524026的博客
03-14 1848
[青少年CTF]-MISC WP(一)
内存取证CTF-Memlabs靶场4
qq_42947816的博客
02-01 1505
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
ctf内存取证----easy_dump
MOLLMY的专栏
09-15 2974
前一段时间又做了去年护网杯的内存取证题 第一次不参考任何wp提示,自己做,没想到做得挺顺利 Easy_dump writeup 解题步骤 Step 1 Volatility imageinfo 得知系统为Win7SP1x64 Setp 2 查看进程列表 查看命令行历史 没有什么发现 Step 3 执行netscan、iehisto...
[ctf misc][wp]一些内存取证的wp(含[2021蓝帽杯北部赛区分区赛]博人的文件
ShenZ的博客
07-20 5054
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 volatility.exe -f C:\Users\shen\Downloads\mem.raw --profile=Win7SP1x86_23418 pslist > pslist.txt 从后向前看,最后是内存镜像固定用的dumpit软件和windows运行后台的exe,再上面有三个进程值得注意
2023第九届美亚杯全国电子数据取证竞赛个人赛实操部分参考wp
cuiwenhao_的博客
11-20 1629
2023第九届美亚杯全国电子数据取证竞赛个人赛实操部分参考wp
内存镜像转储取证
01-13
在网络安全事件、犯罪调查或恶意软件分析等场景下,内存取证能揭示系统中无法通过常规手段获取的信息。 标题中的"内存镜像转储取证"是指通过特定工具,如DumpIt.exe,将当前计算机的内存内容以原始(raw)格式保存...
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
波动性:高级内存取证框架
02-05
4. **恶意软件检测**:内存取证对于发现恶意软件特别有用,因为许多恶意程序会在内存中留下痕迹,如隐藏的进程、注入的代码或异常的网络通信。Volatility 的插件如`netscan`和`registry`可以帮助识别这些异常行为。 ...
识“黑”寻踪之内存取证.pdf
08-08
内存取证是一种专业性较强的电子数据取证技术,它的核心在于获取和分析计算机系统中易失性内存(RAM)的数据。易失性内存是存储于计算机内存芯片中的数据,在断电后会立即消失,因此,它为取证分析带来了极大的挑战...
2023年第七届蓝帽杯初赛wp
xydsg的博客
11-13 286
5万华哥25.【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]法二:美亚小工具3、我尝试用timeliner做但是好像不太准最后一次!2456pslist也可以29.【服务器取证】分析涉案服务器,请给出涉案服务器的内核版本?[答案格式:xx.xxx-xxx.xx.xx]
第二届网刃杯MISC不要相信你所看到的-WP(volatility的使用)
cottonrose的博客
05-06 241
第二届网刃杯misc—不要相信你所看到的-wp(内存取证和流量分析、volatility的使用)
CTFshow电子取证——内存取证2
最新发布
m0_73756016的博客
04-13 641
总结一下这三题用到的命令 (搬运一下)插件 解释 示例imageinfo 查看/识别镜像信息 vol.py -f JiaJia_Co.raw imageinfohivelist 打印注册表配置单元列表 vol.py -f JiaJia_Co.raw --profile=Win7SP1x64 hivelist。
Windows内存取证思路-----volatility
woshicainiao666的博客
12-20 2291
南华城里月如昼,十二玉楼非吾乡
2021陇剑杯线上——机密内存取证
m0_46296905的博客
06-29 2143
给了我们三个文件,有一个vmem文件,vmem即虚拟机的内存文件,首先尝试直接用volatility分析使用volatility进行直接分析发现无法识别profile另外两个文件文件类型不明,需要我们自行判断,但可以肯定的是其它类型的虚拟机文件查阅了相关资料了解了一下虚拟机文件类型及其作用下面是vmware官方文档中给出的虚拟机文件类型说明再观察一下两个文件的内容,有个很明显的特征就是这个文件一半是可打印字符,一半是乱码,注意到乱码区域开头部分有个显眼的标识码——bin01就是一个二进制文件我们将一个虚拟
内存取证大杂烩(已更新)
qq_73870170的博客
10-29 908
拿到镜像文件现在volatility跑一下imageinfo得到镜像名,Win7SP1x64由1问可知我们的目标是Users可以用filescan来扫一下文件,因为win用户文件会有Users\名用户名为JiaJia。
【HTB-Sherlocks-OpTinselTrace-3 WP 应急响应-内存取证
Asymptote_tanaka的博客
12-26 925
使用命令 vol.py -f santaclaus.bin windows.filescan.FileScan | grep -E "\.txt|\.png|\.jpg|\.gif|\.zip|\.rar|\.7z|\.pdf|\.doc"检索可疑文件,发现有个present_for_santa.zip。把压缩包导出并解压后发现里面有两个文件,一个快捷方式一个vbs脚本,猜测为click_for_present文件,加上后缀名.lnk后提交。然后看代码,可以看到这里有个powerShell。
volatility内存取证
wha1e的博客
02-07 8854
取证在CTF中占比越来越大,甚至某些比赛中misc全是取证。在之前的比赛中wha1e表示束手无策很难受,所以乘着实习摸鱼期间学习了一下。
内存取证系列2
SwBack的博客
11-07 1147
内存取证volatility练习,职业技能大赛
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SwBack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值