数字取证学习之内存取证CTF解题实例

最新推荐文章于 2024-02-27 17:28:14 发布
最新推荐文章于 2024-02-27 17:28:14 发布
阅读量1.7k 收藏 11
点赞数
分类专栏: 数字取证学习 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39762176/article/details/127935243
版权

之前做了几道偏向取证的CTF题目,特此分享下,对于内存取证学习有一定的帮助

用到的工具

volatility2:
一款开源的内存取证框架工具,能够对导出的内存文件进行取证分析
Github开源地址:https://github.com/volatilityfoundation/volatility
TA在KALI的低版本有自带 高版本移除了需要自己单独安装
安装方面就不作过多描述 官网或者是GitHub下载了 就能用。

陇剑杯_内存取证

题目信息:

网管小王制作了一个虚拟机文件,让您来分析后作答:
1.虚拟机的密码是: 密码中为flag,含有空格,提交时不要去掉。
难度情况:简单-到中等之间。

题目给的是一个内存文件,因此需要对内存文件分析来取得它的密码
volatility2来进行内存文件的取证需要先指定它的系统 所以说需要先检测下系统内核

vol.py -f 内存文件 imageinfo

在这里插入图片描述
在Profile(s) 处得知了系统内核为Win7SP1x64 ,接下来就可以使用–profile 内核版本来进行下一步操作
了,题目的要求是获取虚拟机的密码,最简单的方式是用vol的mimikatz插件来直接获取系统的明文密码
(ps:这个插件需要另外安装可以参考下这位博主的文章:https://blog.csdn.net/weixin_45485719/article/details/
107837269)

vol.py -f 镜像名称 --profile 镜像的系统内核 mimikatz(获取明文密码的插件)

在这里插入图片描述
可以看到获取到了系统的登录明文密码,也就正是我们的flag。

2021 天翼杯Browser

题目信息:

1.默认浏览器(请给出注册表中可证明它是默认浏览器的对应的值,如:IE.HTTP)
2.默认浏览器版本(如:11.0.9600.18978)
3.默认浏览器汇总用户浏览次数最多的URL(如:https://www.bilibili.com/) 拼接如下(例如): IE.HTTP_11.0.9600.18978_https://www.bilibili.com/)

拿到题目是一个内存文件 根据题目信息:我们需要先获取它的默认浏览器 (这个需要在注册表中寻找)
还是先获取下它的系统内核版本

vol.py -f 内存镜像 imageinfo

在这里插入图片描述
获取到了镜像的内核版本: Win7SP1x86,根据题目要求先要获取它的默认浏览器,我们先在进程中扫描一下.

vol.py -f 内存镜像 --profile Win7SP1x86(系统内核) pslist(查看进程)

在这里插入图片描述
一共发现有火狐 谷歌 edge浏览器的进程 但是题目要的是默认浏览器版本,所以说需要深入注册表挖
掘,我在网络上查阅到Windows系统注册表存储默认浏览器的位置是:
(参考链接:
https://stackoverflow.com/questions/32354861/how-to-find-the-default-browser-via-the-registry-on-windows-10)

`HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shell\Associations\URLAssociations\
(http|https)\UserChoice`
"SOFTWARE\Microsoft\Windows\Shell\Associations\URLAssociations\http\UserChoice"
"SOFTWARE\Microsoft\Windows\Shell\Associations\URLAssociations\https\UserChoice"
Windows 注册表关于默认浏览器的位置的位置

因此我们 可以 printkey 指定注册表 来直接输出注册表的值

vol.py -f 内存镜像 --profile=Win7SP1x86(系统内核版本) printkey -K "指定的注册表位置"

在这里插入图片描述
这时候得知了默认浏览器是: MSEdgeHTM也就是edge浏览器,然后我们根据题目要求获取它的版本号
直接通过filescan来扫描内存中的文件,直接搜索grep来获取它的相关版本

vol.py-f 内存文件 --profile=系统类型 filescan |grep "内容"
注意:如果你是在Windows下使用那么默认是没有grep命令的可以使用findstr来代替

在这里插入图片描述
显示的东西太多了 复制到记事本查看

在这里插入图片描述
找到了版本号:92.0.902.78
接下来根据题目要求来获取它的历史记录,命令跟上次的一样,这次搜索History(历史文件)

vol.py-f 内存文件 --profile=系统类型 filescan |grep "内容"
注意:如果你是在Windows下使用那么默认是没有grep命令的可以使用findstr来代替

在这里插入图片描述
复制到记事本筛选edge浏览器
在这里插入图片描述
得知了edge历史记录文件的地址:0x000000007da2abf0
可以使用 dumpfiles 来导出来进行查看

vol.py -f 内存文件 --profile=系统类型 dumpfiles -Q 数值 -D 文件夹名/

在这里插入图片描述
成功保存2个文件。
在这里插入图片描述
这个可以通过数据库浏览器DB Browser 来进行查看,用它打开里面的dat文件 浏览数据。
在这里插入图片描述
最后得到访问次数最多的url是;https://weibo.com/login.php

im-Miclelson
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
turbinia:数字取证工具的自动化和扩展
02-05
特比尼亚 概要 Turbinia是一个用于部署,管理和运行分布式取证工作负载的开源框架。 它旨在自动运行常见的取证处理工具(例如,Plaso,TSK,字符串等),以帮助在云中处理证据,扩展大量证据的处理并在可能的情况下通过并行处理来缩短响应时间。 这个怎么运作 Turbinia由客户端,服务器和工作人员的不同组件组成。 这些组件可以在云中,本地计算机上运行,​​也可以两者结合运行。 Turbinia客户端向Turbinia服务器发出处理证据的请求。 Turbinia服务器根据这些传入的用户请求创建逻辑作业,这将创建并安排要由工作人员运行的取证处理任务。 在可能的情况下,将按工作将要处理的证据进
第二届360杯全国大学生信息安全技术大赛部分解题思路(数字取证
weixin_30701575的博客
08-10 195
第一题如下: 下载打开包文件可以发现: 输入过滤语句http.request.method == POST 可以看到一个filename:后面的值即为key。 第二题如下: 解压出docx文件,把此文件改为rar文件在解压。解压后pngdecode.docx在\pngdecode\word\media文件夹 中看到image2.jpg里面...
内存取证之volatility(例题[护网杯]Easy_dump)
最新发布
苏生要努力
02-27 543
上面英文翻译结果如下,这是一个维吉尼亚密码,秘钥是aeolus,有了加密方式,有了秘钥,需要密文。在这里发现这个notepad.exe ,想到看记事本里面的内容,寻找线索。6 检查phos.jpg图片,图片无法查看,使用binwalk查看。在2616.dmp里面直接搜flag有关的信息,得到下一个提示是。8 怀疑这些数字是坐标,于是上脚本转换一下试试 ,得到二维码图片。寻找到一个.swp文件,如果熟悉它,知道是中断文件,直接恢复。文件,再次使用binwalk工具提取里面的文件。,即可得到隐藏在里面的。
Kali Linux数字取证工具集三册v2018.1试读陆小马功钟浩.pdf
09-14
Kali Linux数字取证工具集三册v2018.1试读陆小马功钟浩.pdf
基于深度学习数字图像取证技术研究进展.docx
05-27
基于深度学习数字图像取证技术研究进展.docx
0基础小白怎么入门CTF,看这个就够了(附学习笔记、靶场、工具包下载)
z099164的博客
06-24 2790
0基础小白怎么入门CTF,看这个就够了(附学习笔记、靶场、工具包下载)
OtterCTF内存取证wp
m0_66638011的博客
05-09 3531
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
CTF取证总结(内存取证,磁盘取证)以及例题复现
热门推荐
Love&Share
09-20 2万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
CTF-MISC 杂项出题思路与解题思路
Jang2023的博客
06-30 1995
ctf 夺旗赛解题思路 misc杂项
一文讲述内存取证的数据保存、数据分析、CTF实战案例
dzqxwzoe的博客
08-26 486
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
CTF大赛】陇剑杯-机密内存-解题过程分析
HBohan的博客
09-27 3202
前言 机密内存这道题是陇剑杯中的压轴题,题目中涉及到使用VMware加密功能进行加密的内存镜像,难度极大。我在这里详细的记录一下解题思路和过程,如有错误或疏漏的地方还请大佬们在评论区指出。 题目初探 拿到题目,为三个文件,其中mem_secret-963a4663.vmem为常见内存镜像文件,另外两个文件格式未知。 使用volatility进行分析无法识别profile。 接着分析分析Encryption.bin01和Encryption.bin02文件,初步分析Encryption.bin01文件,无.
CTF内存取证入坑指南!稳!题目
03-28
内存取证类,了解到了一款牛逼的工具——Volatility,
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
CTF取证类题目指南
01-09
CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是...
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
OtterCTF的Memory Forensics内存取证文件
12-09
OtterCTF的Memory Forensics内存取证文件,vmem格式,解压即用。 此题详细解题博客:
CTF学习资源
wutiangui的博客
08-30 1094
MD5MD5(Message Digest Algorithm 5)中文名为消息摘要算法第五版,是计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。MD5作为一种常用的摘要算法(或指纹算法),其具有以下几个重要的特点:输入任意长度信息,输出长度固定:MD5 可输入任意长度的信息,其输出均为128位(bit)固定长度的二进制数据。运算速度快:MD5的运算均为32位 与、或、非、位移等位运算,因此其运算速率快,几乎不消耗CPU时间。
CTFshow 电子取证】 JiaJia-PC-1-2-3(图文详解)
jiming_wue的博客
02-19 1401
CTFshow 电子取证】 JiaJia-PC-1-2-3 通过FTK Imager 和 VMware工具实现系统镜像的动态仿真,从中获取我们想要的信息
内存取证真题(使用volatility工具)
m0_57696734的博客
07-16 2076
内存取证
ctf+nodejs学习
12-13
CTF是一种网络安全技术竞赛,其中包含了各种各样的题目类型,例如密码学、Web安全、二进制漏洞等等。Node.js是一种基于Chrome V8引擎的JavaScript运行环境,它可以使JavaScript在服务器端运行。在CTF比赛中,Node.js可以用于编写Web安全题目,例如利用Node.js的弱类型特性进行类型转换漏洞攻击等。如果你想学习CTF和Node.js,可以参考以下资源: 1. CTF Wiki:https://ctf-wiki.github.io/ctf-wiki/ 2. Node.js官方文档:https://nodejs.org/en/docs/ 3. Node.js安全指南:https://nodesecroadmap.fyi/ 4. Node.js CTF题目库:https://github.com/NodeSecurity/node-ctf-archive 5. 《Node.js安全编码指南》:https://www.gitbook.com/book/chrisdickinson/node-security/details

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值