内存取证系列5

已于 2022-11-23 11:18:02 修改
阅读量539 收藏 1
点赞数
分类专栏: 调查取证 CTF 文章标签: 安全 内存取证 volatility 信息安全与评估 世界技能大赛
于 2022-11-23 10:56:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30817059/article/details/127996298
版权

文章目录

文档说明

作者:SwBack

时间:2022-5-8 14:17

本次做题收获:收获总是会有的,比如MD 用的越来越熟练。

Volatility命令参考地址

挑战说明

  • We received this memory dump from our client recently. Someone accessed his system when he was not there and he found some rather strange files being accessed. Find those files and they might be useful. I quote his exact statement
  • 我们最近从客户那里收到了这个内存转储。有人在他不在时访问了他的系统,他发现正在访问一些相当奇怪的文件。找到这些文件,它们可能很有用。我引用他的确切陈述,

名字不可读。它们由字母和数字组成,但我无法弄清楚它到底是什么。

此外,他注意到他最喜欢的应用程序每次运行时都会崩溃。是病毒吗?

Note-1: 此挑战由 3 个flag组成。如果您认为第二个flag是结束,它不是!

Note-2: 挑战时有一个小错误。如果您发现任何包含字符串L4B_3_D0n3 !!的字符串,请将其更改为L4B_5_D0n3 !!然后继续。

Note-3: 只有当您拥有flag1 时,您才会获得flag2 。

挑战文件:MemLabs_Lab5
如果下载地址访问失败,可以通过CSDN下载,点击下载

解题过程

提取关键词: 3个flag 、文件名字 字母+数字、最喜欢的、崩溃、病毒

查看系统镜像
volatility -f MemoryDump_Lab5.raw imageinfo

!在这里插入图片描述

查看系统进程

发现ie浏览器,WinRAR,NOTEPAD.EXE(恶意)

volatility -f MemoryDump_Lab5.raw --profile=Win7SP1x64 pslist

在这里插入图片描述

查看浏览器历史记录

发现特殊文件,符合命名规则
发现ie浏览器

volatility -f MemoryDump_Lab5.raw --profile=Win7SP1x64 iehistory

!在这里插入图片描述

Base64 解码 得到flag1
echo "ZmxhZ3shIV93M0xMX2QwbjNfU3Q0ZzMtMV8wZl9MNEJfNV9EMG4zXyEhfQ" |base64 -d

在这里插入图片描述

查询文件
volatility -f MemoryDump_Lab5.raw --profile=Win7SP1x64 filescan |grep "txt\|gif\|png\|jpg\|jpeg\|zip\|rar\|7z\|Desktop\|Download\|Documents\|Favorites\|Music\|Videos\|Links"

疑似存在问题文件(根据文件所在目录,文件名,后缀等进行判断)

虚拟地址文件名
0x000000003eed56f0Documents\SW1wb3J0YW50.rar
验证该文件
提取文件 得到flag2
volatility -f MemoryDump_Lab5.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003eed56f0 -D ./

是个加密压缩包
根据提示没有flag1 得不到flag2 猜测flag1是该压缩包密码

在这里插入图片描述

提取文件

提取之前发现的NOTEPAD.EXE,只有PID为2724的程序提取了出来

volatility -f MemoryDump_Lab5.raw --profile=Win7SP1x64 procdump -p 2724 -D ./

在这里插入图片描述

IDA分析得到flag3

bi0s{M3m_l4B5_OVeR_!}

在这里插入图片描述

SwBack
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Chrome浏览器取证分析
MSB_WLAQ的博客
10-12 2177
Chrome浏览器取证分析 做个笔记,记录下最近学习的有关Web浏览器取证的知识,其中包括研究如何解密Chrome浏览器保存在本地的加密登录信息,以及当前进程上下文为SYSTEM或者管理员的情况下如何切换Windows权限,还有遇到多用户在线的情况下如何解密多个用户的密码。 Chrome浏览器登录信息存放在哪里? Google Chrome的配置文件存放在%LocalAppData%目录下。例如,具有两个Google Chrome账号配置文件的windows用户admin将有一个目录,其中包含每个配置
Chrome历史记录分析
weixin_30807677的博客
10-17 5799
360浏览器采用的是Chrome开源内核。两个浏览器的数据库文件结构一样。 参考文献:www.doc88.com/p-6971366976640.html 杨雪靳慧云 《Chrome 浏览器历史记录提取与分析》 1、历史记录的提取 sqlite是一款基于磁盘的轻量级关系型数据库管理系统,。浏览器中 Chrome、Firefox、Safari等常用浏览器均使用sqlite存储及管理...
内存取证CTF-Memlabs靶场1
qq_42947816的博客
02-01 2441
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
浏览器取证分析
最新发布
2401_84466336的博客
06-25 885
在Windows系统中,Google Chrome的配置文件存放在目录下。只有一个账号的数据存储目录:该路径下的主要文件:BookmarksCookiesHistoryLogin DataShortcutsTop SitesWeb Data用winhex打开,其中,Bookmarks(书签) 是JSON文件,而且是明文存储。"roots": {"id": "5",} ],"id": "1","name": "书签栏",},"other": {"id": "2",
取证工作:如何提取和破解网络浏览器用户密码
sanyuan7783的博客
03-08 989
ElcomSoft 系列软件专注于破解及恢复广泛的应用环境(Office、数据库、归档文件、iOS等)、系统 (EFS加密等)、磁盘(BitLocker、FileVault 2、PGP Disk、TrueCrypt 和 VeraCrypt 加密)及网络浏览器的加密保护,是数据恢复工作者及取证专家的必备工具。Elcomsoft Internet Password Breaker 软件实现了对所有主流浏览器用户密码的提取及破解功能。
电子取证中Chrome各版本解密Cookies、LoginData账号密码、历史记录
toto的博客
12-13 4635
本文主要分析总结了Chrome各版本对于Cookies、LoginData登录信息以及历史记录的加解密过程,使用masterkey解密80.X以前的版本的DPAPI加密以及使用 LocalState文件对于80.X以后的版本的AES-256-GCM进行解密
内存取证的框架
01-20
内存取证是一种重要的网络安全技术,主要用于检测和分析计算机系统中的恶意活动。它主要关注的是系统运行时的状态,即内存中的信息,因为很多恶意软件为了逃避传统静态分析,会选择在内存中执行其恶意行为。"内存...
内存镜像转储取证
01-13
在网络安全事件、犯罪调查或恶意软件分析等场景下,内存取证能揭示系统中无法通过常规手段获取的信息。 标题中的"内存镜像转储取证"是指通过特定工具,如DumpIt.exe,将当前计算机的内存内容以原始(raw)格式保存...
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
波动性:高级内存取证框架
02-05
波动性(Volatility)是一个强大的开源工具,专用于高级内存取证分析。该框架主要用于调查计算机内存映像,帮助安全研究人员、法医分析师以及恶意软件调查人员揭示潜在的恶意活动、感染迹象以及系统状态。Volatility...
识“黑”寻踪之内存取证.pdf
08-08
内存取证是一种专业性较强的电子数据取证技术,它的核心在于获取和分析计算机系统中易失性内存(RAM)的数据。易失性内存是存储于计算机内存芯片中的数据,在断电后会立即消失,因此,它为取证分析带来了极大的挑战...
browser-history-analyzer:用于分析浏览器历史记录的数字取证软件的回购
05-01
浏览器历史分析器 介绍 浏览器历史记录分析器是一种非常简单易用且方便的工具,用于分析磁盘上的浏览器历史记录。 该工具可以分析三种主流浏览器:Chrome,Firefox,Safari。 该软件可以从文件系统或任何恢复的映像中找到所有与浏览历史相关的文件,并可以分析浏览历史和相关信息。 我们可以使用特定的配置来显示或选择时间范围,以过滤分析以进行调查甚至显示统计信息。 它将生成用于历史记录和统计数据的csv文件,以及用于统计数据饼图的jpg文件。 用法 为了使其易于使用,我想摆脱复杂的命令行参数。 我们需要做的就是修改configuration.config以使该工具执行我们想要的方式。 用法: python anazlyze.py 配置说明 浏览器:我们要探索的浏览器。 (支持chrome , safari , firefox ) 路径:我们要搜索浏览器历史记录的路径。 (请使用~作为
记录一次内存取证
2401_84434570的博客
05-28 728
我姐姐的电脑坏了。我们非常幸运地恢复了这个内存转储。你的工作是从系统中获取她所有的重要文件。根据我们的记忆,我们突然看到一个黑色的窗口弹出,上面有一些正在执行的东西。崩溃发生时,她正试图画一些东西。这就是我们从崩溃时所记得的一切。注意:此挑战由 3 个flag组成。获取到flag:flag{th1s_1s_th3_1st_st4g3!!!mspaint.exe 为windows自带画图工具,为PID 2424的mspaint.exe程序以dmp格式保存出来就可以了。
数字取证学习之内存取证CTF解题实例
一位热爱网安的年轻人的博客
11-19 1863
数字取证内存取证CTF解题案例
首届盘古石杯全国电子数据取证大赛 技能赛晋级赛 2023年奇安信取证比赛题目
weixin_42744595的博客
05-07 4808
(答案格式:http://www.baidu.com:8080/login.html)(★★★★★)(答案格式:2000-01-01 01:00:09)(★★☆☆☆)6.根据容恨寒的安卓手机分析,收到的刷单.rar的解压密码是(答案格式:abcdg@1234@hd)(★★★☆☆)1.根据容恨寒的安卓手机分析,手机的蓝牙物理地址是(答案格式:B9:8B:35:8B:03:52)(★☆☆☆☆)7.根据容恨寒的安卓手机分析,发送刷单.rar的用户的手机号是(答案格式:15137321234)(★★★★☆)
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
python取证-获取浏览器本地数据库
玄道的网安博客
01-02 1198
开发环境:python3/mac os x 使用模块:“sqlite3”,“getopt”,“sys”   前言:有些应用程序需要在客户端中存储数据,绝大部分使用的都是sqlite数据库,使用sqlite把整个数据裤都存放在客户端本地一个单一不分层的文件中。今天主要以火狐浏览器为例,利用python自动获取存储在本地sqlite数据库中的浏览器“历史浏览记录”,“cookie”信息和“历史提...
自己总结关于浏览器证书安全的二点小技巧
PsEmperor
03-24 660
1,如何把证书添加信任?    答:把证书导出到桌面(或任意指定的地址),然后导入到信任证书中即可。2, 安全证书的吊销信息不可用怎么办?    答:打开控制面板(或浏览器工具),打开Intent选项,点击高级:            取消的勾选,重启浏览器即可。...
php调取html的历史,理解浏览器的历史记录
weixin_34579708的博客
03-10 192
这是一篇基础文章,讲述一些浏览器里面历史记录栈管理的相关内容。写这个的起因,源于我最近想研究pushState,看看用它来实现SPA会遇到哪些问题,而pushState最终影响的就是浏览器历史记录栈里面的内容,所以就花了点时间琢磨了一下浏览器是如何管理历史记录栈的。因为在研究的过程中,发现了一些曾经不曾注意到一些要点,所以就记录下来了。demo地址:http://liuyunzhuge.githu...
精通Windows数字取证技术
作者会介绍一系列工具和策略,帮助读者掌握如何从这两种类型的数据中提取有价值的信息。 书中的学习目标包括: 1. 掌握Windows系统取证的基本流程和方法。 2. 学习如何使用特定工具进行实时分析,以获取系统运行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SwBack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值