【应急响应】VOL_EASY

原创 已于 2025-10-14 09:12:19 修改 · 244 阅读 · 8 ·
CC 4.0 BY-SA版权
CC BY-NC 4.0
文章标签:

#应急响应 #Parloo #CTF #内存取证

于 2025-10-14 09:09:50 首次发布

文档说明

本文作者:SwBack
创作时间:‎2025年‎5‎月20日,09:42:51
知乎:https://www.zhihu.com/people/back-88-87
CSDN:https://blog.csdn.net/qq_30817059
百度搜索: SwBack

题目说明

题目背景:青少年 CTF

题目描述:某企业服务器近日遭受隐秘入侵。安全团队通过日志溯源发现,黑客利用Web应用漏洞植入恶意后门,根据溯源的信息配合警方逮捕了黑客,安全团队已经紧急保存了黑客电脑的内存转储文件,请你开始取证以便固定证据。请根据题目文件,找出下面10条证据让罪犯服软吧!

附件下载地址:
通过网盘分享的文件:vol_easy.zip
链接: https://pan.baidu.com/s/1afek1JIX8J0tXoPwTSp84g?pwd=w6iu 提取码: w6iu
解压密码:0f6941beab90bc8be5bc25b6c56ee849

镜像名称:vol_easy.vmem

复现时间:2025年10月13日

复现人:Swback

题目详情

题目一:黑客上传的一句话木马密码是多少?

solar

过程参考题目四

volatility.exe -f vol_easy.vmem --profile=Win7SP1x64 dumpfiles -Q  0x000000007ddf2280 -D .

题目二:黑客使用的木马连接工具叫什么(比如xx.exe)?(仅首字母大写)

Antsword.exe

# 发现蚁剑进程
volatility.exe -f vol_easy.vmem --profile=Win7SP1x64 pslist

题目三:黑客使用的木马连接工具的位置在哪里(比如C:\xxxx\xx.exe) ?

C:\Tools\AntSword-Loader-v4.0.3-win32-x64\AntSword.exe

# cmdline 查看进程中的程序路径、参数、PID 等等
volatility.exe -f vol_easy.vmem --profile=Win7SP1x64 cmdline |findstr "AntSword"

题目四:黑客获取到的FLAG是什么?

flag{ok!get_webshell_is_good_idea~}

#filescan 搜索内存中所有文件 : 将所有结果保存到本地
volatility.exe -f vol_easy.vmem --profile=Win7SP1x64 filescan >1.txt
#查看文件内容,并搜索flag
type 1.txt |findstr "flag" 


#dumpfiles 根据地址提取文件 -D 提取后保存的路径
volatility.exe -f vol_easy.vmem --profile=Win7SP1x64 dumpfiles -Q  0x000000007da684a0 -D .

打开发现 flag

题目五:黑客入侵的网站地址是多少(只需要http://xxxxx/)?

http://192.168.186.140/

# 查看进程,发现存在ie浏览器
volatility.exe -f vol_easy.vmem --profile=Win7SP1x64 pslist
# iehistory 查看ie浏览器的历史记录
volatility.exe -f vol_easy.vmem --profile=Win7SP1x64 iehistory

题目六:黑客入侵时,使用的系统用户名是什么?

Administrator

#获取系统中用户的hash
volatility.exe -f vol_easy.vmem --profile=Win7SP1x64 hashdump

题目七:黑客创建隐藏账户的密码是多少?

密码为 solar2025

存在截图

type 1.txt |findstr "Tools" |findstr /v "AntSword-Loader-v4.0.3-win32-x64"

题目八:黑客首次操作靶机的关键程序是什么?

lsass.exe

题目八的截图, lsass.exe windows 的 hash 存储程序,可以提取到 windows 系统的明文密码。

题目九:该关键程序的PID是多少?

456

题目 8 截图

题目十:该关键程序的内存文件保存到了什么地方?

C:\phpstudy_pro\WWW\lsass.dmp

NoteExpress_Vol_GZZYYDX_3.3.0.8102_zh.exe
01-27
最常用的科研文献管理软件
solar应急响应-7月
wyjcxyyy的博客
08-04 1337
赛后复盘看大佬们写的wp收获颇丰,记录以下。题目来自。
Solar应急响应月赛-7月wp
qq_64763905的博客
07-26 947
第一次尝试做内存取证,边学边做,花的时间有点长,排名也不怎么高,内容有不对的地方还望指正。首先使用imageinfo查看镜像信息使用命令查看IE浏览器的历史记录,发现有一个ezshell.php文件 使用以及命令,找到内存地址0x000000007ddf2280 使用根据内存地址导出文件到指定目录下 查看output目录下的文件使用查看进程,发现蚁剑的程序 使用查看程序的位置 使用直接搜索flag 用搜索shell.php字符串,找到IE浏览器的主进程文件(iexplore.exe)中有一个网址 Windo
网络安全应急响应-电子数据取证技术
Bnessy
03-27 5817
电子数据取证技术 1. 易失性信息的提取 易失性是指数据保存的环境如果不能满足某种条件,就确定会丢失,例如保存在DRAM中的数据是易失的,因为只要DRAM的电源被切断,其中所保存的数据就会丢失。易失性数据一般通过命令行方式提取,可减少对其他易失性数据的破坏,也可以通过专业的设备或工具提取,如Sysinternals等工具。在Sysinternals工具下可以提取大量的信息: Bginfo:计算机软、硬件信息,包括CPU主频、网络信息、操作系统版本、IP地址、硬盘信息等。 PsloggedOn:本地登录的
2025年Solar应急响应公益月赛-7月笔记ing
2301_80216972的博客
07-29 1182
看大佬的博客说的是“web挖矿木马,依赖用户浏览器前端,只能是js喽,直接看主页,发现混淆js"在/public/upload目录下有一个类似“冰蝎”的马(应该是哥斯拉),cat看到密码。题目描述:请提交黑客创建隐藏账户的事件(格式为 年/月/日 时:分:秒)?题目描述:请提交黑客创建隐藏账户的事件(格式为 年/月/日 时:分:秒)?黑客使用的木马连接工具的位置在哪里(比如C:\xxxx\xx.exe)?黑客入侵的网站地址是多少(只需要http://xxxxx/)?
2025年Solar应急响应公益月赛-7月wp
2303_79553403的博客
07-27 1206
solar7月赛所有题解
Solar应急响应公益月赛7月月赛WP
小杉泽的博客
08-26 78
本文摘要四道CTF赛题解过程:1. 逆向分析加密器,通过密钥secret_key_1234及AES-128-CBC解密获得Flag。2. 内存取证分析溯源,发现蚁剑连接Webshell、创建隐藏账户solar$及转储lsass进程。3. 应急响应排查服务器,通过日志分析定位攻击IP192.168.186.139、木马密码solar2025及隐藏用户添加管理员组操作。4. 综合流量与日志分析SQL注入拖库、FTP密码复用爆破、哥斯拉Webshell及前端混淆挖矿代码。涵盖逆向、取证、日志、流量分析等多项技能。
数字经济的核心是对大数据_大数据崛起为数字世界的核心润滑剂
weixin_26746401的博客
08-21 2125
数字经济的核心是对大数据“Information is the oil of the 21st century, and analytics is the combustion engine”. “信息是21世纪的石油,分析是内燃机”。 — Peter Sondergaard, Senior Vice President of Gartner Research. — Gartner研究部高级副总...
CTF题记——取证小集合
m0re's blog
11-07 7089
前言 最近接触到的取证类题目很多,所以就总结一下这类题。 不得不提的是Volatility这个神器,本次学习,结合几个题目总结一下命令使用。还有一些大师傅的博客学来的知识。 "食用"方法 判断镜像信息,获取操作系统类型 volatility -f ?.img/raw/... imageinfo 知道操作系统类型后,用–profile指定 volatility -f ?.img --profile=... 查看当前显示的notepad文本 volatility -f file.raw --profile
流量种类的粗略学习
2402_87221233的博客
09-05 1044
使得题目中的流量参数看起来是。
PBR材质宝典_PBR_Guide_Vol2_中文版_vol_pbr_pbrt_
09-30
《PBR材质宝典_PBR_Guide_Vol2_中文版》是一本专注于PBR(基于物理的渲染,Physics-Based Rendering)技术的专业书籍,对于学习和掌握PBR材质系统具有极高的价值。PBR是现代3D图形学中的重要概念,它通过模拟真实...
PBR材质宝典_PBR_Guide_Vol1_中文版_vol_pbr_pbrt_
10-01
《PBR材质宝典_PBR_Guide_Vol1_中文版》是一本专注于物理渲染(PBR)技术的专业指南,适合所有对游戏开发、影视特效、3D建模等领域有热情的学习者。PBR,全称Physical-Based Rendering,是一种基于物理规律的渲染...
Vue.Net_vol_vue_
10-03
Vue.Net_vol_vue_ 是一个开源项目,其核心是将Vue.js框架与.NET技术栈结合,构建了一套完整的前后端分离的解决方案。这个项目包括了所有相关的源代码和参考资料,为开发者提供了一个学习和实践Vue.js与.NET集成开发...
CIP Vol1_3.3.pdf_vol_CIP_CIP_vol1_EtherNet/IP_
09-28
标题中的"CIP Vol1_3.3.pdf_vol_CIP_CIP_vol1_EtherNet/IP_"可能是指CIP协议的第1卷第3.3版的PDF文档,详细阐述了EtherNet/IP的相关内容。这个文档可能是关于EtherNet/IP协议的详细规范或用户指南,涵盖了协议的基础...
时间戳分析验证网络取证
10-19
本文提出一种基于第三方服务器协同验证的网络取证时间戳分析方法,通过提取PCAP文件中的HTTP响应头信息,结合统计学手段检测和校正本地日志服务器的时间偏差。该方法不依赖单一设备时钟,而是利用多个‘虚拟见证’服务器的时间信号,构建独立、可靠的时间基准,有效解决因时钟漂移、配置错误或NTP失效导致的取证数据可信度问题。实验表明,该方案能以高精度估算事件发生时间,均方误差低于3秒,适用于缺乏准确实时时钟的场景。研究为数字取证领域提供了可验证、可重复的时间验证框架,增强了电子证据在司法程序中的可信度与法律效力。
基于普中51单片机的多功能时钟(带DS18B20温度检测,可以直接使用)
10-19
代码可以直接使用,按照我的贴子操作就可以了
利用深度优先算法在Python中实现迷宫生成(depth-first algorithm in Python implementation of maze generation)
10-19
【源码免费下载链接】:https://renmaiwang.cn/s/nhrcw 深度优先搜索(DFS,Depth-First Search)是一种用于遍历或搜索树或图的算法,它选择一个节点并尽可能深地探索其分支。在迷宫生成中,DFS被用来创建复杂的路径结构。以下是对给定内容的详细解释:1. **Python深度优先算法生成迷宫的原理**: 迷宫生成的基本思想是随机地在空白区域添加墙壁,形成一条可以从起点到终点的路径。DFS在这里的作用是从起始点开始,随机选择一个方向进行移动,并将该路径标记为已访问。当遇到障碍(已存在的墙壁)或者到达终点时,算法回溯到上一步,选择其他未尝试过的路径。2. **代码解析**: - 定义矩阵`dfs`来记录迷宫中每个单元格是否已被访问。 - 定义矩阵`maze`来表示最终生成的迷宫,其中`#`代表墙壁,空格代表可通行路径。 - `operation`字典存储了四个可能的方向(上、下、左、右)对应的坐标偏移量。 - `direction`列表包含所有可能的方向,用于随机选择移动方向。 - `stack`用于存储深度优先搜索过程中的路径。3. **函数说明**: - `show(graph)`:打印迷宫矩阵,便于观察迷宫结构。 - `showRouter(stack)`:打印DFS过程中访问的路径,展示从起点到终点的路径。 - `generateMaze(start)`:核心函数,使用DFS生成迷宫。首先将起始点标记为已访问,然后随机排序方向,依次尝试这些方向,如果新位置未被访问且在有效范围内,则打通墙壁并递归调用自身。4. **迷宫生成流程**: - 创建一个全墙的初始迷宫矩阵,奇数行和奇数列的位置代表实际的墙壁,偶数位置代表路径。 - 起点设为`(0, 0)`,调用`generateMaze((0,0))`开始生成迷宫。 - 在递归过程中,每次
运维教程-安消防实施指导.docx
最新发布
10-19
运维教程-安消防实施指导.docx
基于Flask的MNIST手写数字识别.zip
10-19
基于Flask的MNIST手写数字识别.zip
vol_val += temp_Vol; if (++vol_count >= 8) { vol_val /= 8.0; vol_Value = vol_val; //获取滤波后电压值 vol_val = 0; vol_count = 0; }反复执行这段代码,在temp_Vol一定不为0的情况下,为什么vol_Value会出现0
03-25
<think>嗯,用户问的是,在temp_Vol一定不为0的情况下,为什么vol_Value会出现0。这个问题看起来是关于一段C代码中的滤波处理部分。让我仔细看看代码。 首先,代码的大致流程是:每次循环将temp_Vol加到vol_val上,然后vol_count自增。当vol_count达到8时,计算平均值vol_val/8.0,赋给vol_Value,之后重置vol_val和vol_count为0。用户的问题是,即使temp_Vol不为0,vol_Value怎么会变成0呢? 我需要考虑几个可能的原因。首先,可能是数据类型的溢出。如果vol_val是整数类型,比如int或者unsigned int,而temp_Vol的值虽然不为0,但相加8次后的总和如果超过了该类型的最大值,就会导致溢出,结果可能变为负数或者归零。例如,一个16位的int最大是32767,如果总和超过这个值,就会溢出,导致vol_val变成负数,再除以8之后可能得到0或者很小的数值。 其次,浮点数精度问题。如果vol_val是浮点型,但是temp_Vol的值非常小,比如接近浮点数的精度下限,那么当加上8次后,可能因为精度不够,导致总和仍然是0。例如,如果temp_Vol是0.1,但vol_val是单精度浮点数,可能在累加时出现精度损失,导致总和仍为0。 第三,变量作用域或生命周期的问题。如果vol_val和vol_count是局部变量,而没有用static关键字声明,那么每次函数调用时,它们都会被重新初始化为0,导致无法正确累加。这时候,即使temp_Vol不为0,每次进入代码块时vol_val都是0,自然在第八次也会得到0的平均值。 第四,并发或中断问题。如果在多线程或者中断环境中,这段代码被多个线程或中断同时访问,而vol_val和vol_count没有适当的保护机制,比如互斥锁,可能会导致数据竞争。例如,一个线程在累加vol_val时被另一个线程打断,导致数据不一致,最终计算结果错误。 第五,编译器优化问题。如果变量没有声明为volatile,编译器可能会进行优化,比如将变量存储在寄存器中,而没有及时更新到内存,导致读取的值不是最新的。这可能导致vol_val在累加过程中没有被正确保存,结果出现异常。 第六,硬件异常或内存损坏。虽然这种情况较少见,但如果内存区域被其他错误操作覆盖,或者存在硬件故障,导致vol_val或vol_count的值被意外修改,也会出现计算结果为0的情况。 接下来,我需要验证这些可能性。首先检查vol_val和vol_count的数据类型。如果是整数类型,特别是位数较低的,比如16位整数,那么溢出是一个可能的原因。例如,假设temp_Vol是5000,每次累加,8次就是40000,如果vol_val是16位有符号整数,最大值是32767,那么40000会导致溢出,变成-25536,再除以8得到-3192,赋给vol_Value。但如果vol_Value是无符号整数,可能变成很大的正数,但用户提到结果为0,所以可能需要更具体的情况。 如果是浮点数,比如单精度float,当temp_Vol非常小,比如0.000001,累加8次后总和是0.000008,但单精度浮点数的精度在小数点后6到7位,可能无法准确表示这个数,导致vol_val在除以8后仍为0,或者由于四舍五入变成0。 变量作用域的问题,如果vol_val和vol_count是在函数内部定义的局部变量,没有static修饰,那么每次函数调用时它们都会被重新初始化为0。例如,用户可能在某个函数中定义这两个变量,而没有保留它们的值,导致每次调用函数时都从0开始累加,但在第八次时计算平均值后重置为0,所以vol_Value只有在第八次时才会有一个非零值,而其他时候可能因为未满8次而没有被赋值,或者用户观察到的是在第八次之后vol_Value被赋值为0?需要具体看代码的上下文。 并发问题,如果代码运行在RTOS或者多线程环境中,多个任务可能同时修改vol_val和vol_count,导致数据不一致。例如,一个任务在累加vol_val时被另一个任务中断,导致vol_count的值被错误地修改,从而提前触发平均值计算,或者在累加过程中值被覆盖。 编译器优化方面,如果变量没有声明为volatile,编译器可能会优化掉某些读写操作,认为变量只在当前作用域有效,导致值没有被正确保存。例如,在中断服务程序中修改这些变量,但主循环中的代码没有察觉到变化,导致计算结果错误。 最后,内存损坏或硬件问题,比如堆栈溢出、指针错误等,导致vol_val或vol_count所在的内存被意外修改,这种情况下可能vol_val被错误地置零,从而使得vol_Value为0。 为了确定具体原因,用户需要检查变量的数据类型、作用域和存储类别,是否有并发访问,是否使用volatile关键字,以及是否存在溢出或精度问题。例如,如果vol_val是int类型,temp_Vol是10000,那么8次累加就是80000,超过16位int的范围会导致溢出。或者,如果temp_Vol非常小,导致累加后的总和在浮点数精度下无法表示,从而被截断为0。 另外,用户提到“反复执行这段代码”,可能是在循环中不断调用,而每次进入代码块时vol_val和vol_count都被重置,导致只有在第八次时才计算平均值,之后又重置。如果用户没有正确保留这两个变量的值,比如在函数内部定义而没有用static,那么每次调用函数时,它们都会重新初始化为0,导致无法正确累加。例如: void function() { int vol_val = 0; int vol_count = 0; // 这里的代码会被反复调用 vol_val += temp_Vol; if (++vol_count >= 8) { vol_Value = vol_val / 8; vol_val = 0; vol_count = 0; } } 在这种情况下,每次调用函数时,vol_val和vol_count都会被重置为0,导致每次进入函数时都重新开始累加,但可能用户没有在多次调用之间保留它们的值,导致vol_count永远无法达到8,或者在第八次调用时计算平均值后再次重置。但用户的问题描述中,vol_Value有时会为0,可能是在某些情况下,比如当vol_val的总和在除以8后结果为0,比如temp_Vol的总和小于8,但整数除法会截断小数部分,导致结果为0。例如,如果temp_Vol每次都是0.9,累加8次后总和是7.2,除以8得到0.9,但如果是整数除法,7.2会被截断为7,再除以8得到0(整数除法7/8=0),从而导致vol_Value为0。这可能就是问题所在,如果vol_val是整数类型,而temp_Vol是浮点型,但在累加时被转换为整数,导致总和不足8,除以8后取整为0。 总结起来,可能的原因包括: 1. 整数溢出导致总和为负数,除以8后结果为负,如果vol_Value是无符号类型,可能变成很大的正数,但用户提到结果为0,所以可能不是这种情况。 2. 整数除法截断,例如总和是7,除以8得到0。 3. 变量作用域问题,每次调用时vol_val和vol_count被重置,导致无法正确累加。 4. 浮点数精度问题,总和太小导致除以8后结果为0。 5. 并发访问导致数据不一致。 6. 编译器优化导致变量值未正确保存。 用户需要检查vol_val和vol_count的数据类型,是否使用了正确的类型(如足够大的整数类型或浮点型),是否有正确的存储类别(如static),是否处理了并发访问,以及是否存在整数除法截断的问题。</think>在`temp_Vol`始终不为零的情况下,`vol_Value`出现零值可能是由以下原因导致: --- ### **一、整数类型溢出** 1. **现象与原理** - **场景**:若`vol_val`为**有符号整型**(如`int16_t`),且`temp_Vol`累加8次后超出其最大值(如`int16_t`最大为32767),则会发生**符号翻转**。 - **示例**: - 若每次`temp_Vol = 5000`,累加8次后总和为40000,超过`int16_t`范围,实际值变为`40000 - 65536 = -25536`。 - `vol_val / 8`结果为`-25536 / 8 = -3192`,若`vol_Value`为**无符号类型**,则会隐式转换为极大正数;但若`vol_Value`为有符号类型且后续逻辑截断,可能实际观察到异常值。 2. **验证方法** - 检查`vol_val`的类型范围是否足够(建议改用`uint32_t`或`float`)。 - 输出调试信息:在累加过程中打印`vol_val`的实时值,观察是否溢出。 --- ### **二、整数除法截断** 1. **关键问题** - **代码疑点**:若`vol_val`为**整数类型**且`temp_Vol`为小数(如浮点型),但未显式保留小数部分: ```c vol_val += temp_Vol; // 若vol_val是整型,小数部分被截断 ``` - **示例**: - `temp_Vol = 0.9`,累加8次后`vol_val = 7`(整数部分总和)。 - `vol_val / 8`结果为`0`(整数除法),而非`0.875`。 2. **修复方案** - 将`vol_val`和`vol_count`改为**浮点类型**(如`float`或`double`): ```c float vol_val = 0.0; // 确保累加保留小数 ``` --- ### **三、变量作用域错误** 1. **典型错误** - **局部变量未静态化**:若`vol_val`和`vol_count`是函数内的局部变量且未声明为`static`,则每次函数调用时会被**重置为初始值**,导致无法持续累加。 - **错误代码示例**: ```c void process() { int vol_val = 0; // 每次进入函数时初始化为0 int vol_count = 0; // 同上 // ... 累加逻辑 ... } ``` 2. **修正方法** - 使用`static`关键字保留状态: ```c void process() { static float vol_val = 0.0; // 保留上次调用的值 static int vol_count = 0; // ... 累加逻辑 ... } ``` --- ### **四、并发访问冲突** 1. **多线程/中断环境风险** - **问题**:若代码在中断服务程序(ISR)或RTOS任务中被共享,且未对`vol_val`和`vol_count`进行**原子操作保护**,可能导致: - 值被覆盖(如累加过程中被其他线程修改)。 - 计数器`vol_count`跳跃(如从7直接变为0)。 2. **解决方案** - 使用临界区(Critical Section)或互斥锁(Mutex)保护共享变量: ```c // FreeRTOS示例 xSemaphoreTake(mutex, portMAX_DELAY); vol_val += temp_Vol; if (++vol_count >= 8) { /* ... */ } xSemaphoreGive(mutex); ``` --- ### **五、浮点精度不足** 1. **极端小值场景** - **现象**:若`temp_Vol`极小(如`1e-7`),且`vol_val`为单精度浮点(`float`),累加8次后总和可能仍被舍入为`0.0`(因单精度浮点有效位数仅6~7位)。 2. **验证与修复** - 改用双精度浮点(`double`)提升精度。 - 检查浮点累加是否因优化被忽略(需强制关闭编译器激进优化)。 --- ### **六、调试建议** 1. **逐步排查流程** | 步骤 | 操作 | 目标 | |------|------|------| | 1 | 打印每次`vol_val`的累加值 | 确认是否溢出或截断 | | 2 | 检查变量类型和作用域 | 验证是否因作用域丢失状态 | | 3 | 强制类型转换测试 | 排除隐式类型转换问题 | | 4 | 隔离多线程影响 | 关闭中断/任务调度,观察结果是否稳定 | --- ### **总结** 若`vol_Value`异常为零,**优先检查变量类型**(整数溢出或除法截断)和**作用域**(静态存储必要性),其次排查并发冲突和浮点精度问题。通过打印中间值和简化代码逻辑可快速定位根本原因。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SwBack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值