CTF-朴实无华的内存取证

最新推荐文章于 2024-05-12 22:57:41 发布
最新推荐文章于 2024-05-12 22:57:41 发布
阅读量4.5k 收藏 12
点赞数
分类专栏: CTF 文章标签: unctf 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43611848/article/details/122441337
版权

题目描述
链接:https://pan.baidu.com/s/1dC4reO8opHQ3yZ8PdtD_AQ
提取码:lzsa

解题过程:
1.下载文件1.raw,放到kali里。
2.volatility -f 1.raw imageinfo
![在这里插入图片描述](https://img-blog.csdnimg.cn/ade41d1d0d524d798699d907d6284f83.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Of5rab5b6u6Iyr5L-h6Zq-5rGC,size_18,color_FFFFFF,t_70,g_se,x_16

2.尝试第一个profile类型,查看进程
volatility -f 1.raw pslist --profile=WinXPSP2x86

在这里插入图片描述
3.grep过滤flag关键字试试
volatility -f 1.raw --profile=WinXPSP2x86 filescan |grep flag
发现了线索
在这里插入图片描述
4.先把png图片提出来看看
volatility -f 1.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000001e65028 -D ./
在这里插入图片描述
5.查看图片
在这里插入图片描述
6.把那一圈字符串提取出来看看:
FDCB[8LDQ?ZLOO?FHUWDLQOB?VXFFHHG?LQ?ILJKWLQJ?WKH?HSLGHPLF]
这一串,开头是四个字符,还有中括号包着,明显是flag的格式,而且中间的多个问号盲猜是下划线,根据经验应该是ASCII码移位了。尝试“[”的ASCII码为91,“{”的ascii码为123,所以猜测所有字符ASCII码要加32,再次尝试问号的ASCII码为63,加32等于95,正好对应下划线,验证了猜想,所以把所有ASCII码加32。

手算太麻烦了,python三行代码解决

string = 'FDCB[8LDQ?ZLOO?FHUWDLQOB?VXFFHHG?LQ?ILJKWLQJ?WKH?HSLGHPLF]'
for i in string:
    print(chr(ord(i) + 32), end='')

结果为:fdcb{Xldq_zloo_fhuwdlqob_vxffhhg_lq_iljkwlqj_wkh_hslghplf}

7.看上去不大对,根据经验凯撒解密一下试试
结果为:cazy{Uian_will_certainly_succeed_in_fighting_the_epidemic}
这就对了嘛(PS:第一个U应为X,行该是出题的时候误把B写成8了)
所以flag是cazy{Xian_will_certainly_succeed_in_fighting_the_epidemic}
西安一定会战胜疫情!加油!!!

烟涛微茫信难求
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内存取证-朴实无华取证
ce666666的博客
01-13 1366
前言 看着杂项题越来越多,一道都不能秒,来学习一下。 Volatility 介绍 取证框架,对导出的内存镜像进行分析,获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程。 安装 在kali上下载Volatility git clone https://github.com.cnpmjs.org/volatilityfoundation/volatility.git 进入文件夹,输入 python setup.py install 安装插件有些麻
一文讲述内存取证的数据保存、数据分析、CTF实战案例
Innocence_0的博客
09-09 271
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
关于CTF中的取证分析
weixin_46661122的博客
12-05 4400
什么是计算机取证? 计算机取证(Computer Forensics,又名计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即:获取、保存、分析、出示、提供的证据必须可信
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(1)
最新发布
2401_84281748的博客
05-12 710
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
CTF取证总结(内存取证,磁盘取证)以及例题复现
热门推荐
Love&Share
09-20 2万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
攻防世界 Misc高手进阶区 5分题 latlong
闵行小鱼塘
12-18 1111
继续ctf的旅程,攻防世界Misc高手进阶区的5分题,本篇是latlong的writeup
OtterCTF 内存取证
weixin_51804748的博客
05-15 2809
最近小小的学习了一下内存取证,装环境搞了整整一天,非常麻烦,在阅读相关资料时偶然看到了一篇WriteUp,是关于OtterCTF2018的十三道内存取证题目,用的全部是同一个镜像,考察的知识点非常全面,可以用来熟悉一下volatility的使用,关键是比赛平台居然还开着,正好当作内存取证的一次入门学习 OtterCTF 1 - What the password? ┌──(root㉿kali2022)-[~] └─# vol.py -f /root/桌面/OtterCTF.vmem imageinfo
OtterCTF—内存取证wp
m0_66638011的博客
05-09 4102
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证。 Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-all-in-one
01-30
ctf-all-in-one
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
ctf 内存取证的一些命令
舞动的獾
11-12 7950
内存取证 相当于给出镜像文件,一般为.raw文件,在这些文件中找出相应的文件 常用命令 在kali下用工具volatility 查看系统信息 volatility -f mem.raw imageinfo 如下显示的系统都有可能,可以一个个的试试 查看运行程序列表 volatility -f mem.raw --profile=Win7SP1x64 pslist ...
CTF题记Volatility—取证小集合
Jay
03-08 814
调试很多次,慢慢调节出一些值,这个值可以参考windows系统自带画图软件的,我的是1628x440,修改一下,就开始改变分辨率就可以了。是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。刚打开时,是默认分辨率是0,高度和宽度都是350,先随便调节一下,大概就是三个变量值都先调低一点,然后慢慢调高。然后就是TrueCrypt,这个dump下来不用进行其他操作,成功挂载到F盘,里面看到key 文件。先将这些可疑进程dump下来。
CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型
Ba1_Ma0的博客
03-16 5134
本篇文章演示的插件已经可以做绝大部分题目了,之后就多在buuctf或者ctfshow等线上ctf平台刷题,积累经验。
CTF中文件包含的一些技巧
dfdhxb995397的博客
10-16 1342
i春秋作家:lem0n 原文来自:浅谈内存取证 0x00 前言 网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证...
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值