取证考核复现

最新推荐文章于 2024-08-09 15:43:06 发布

0e1G7

最新推荐文章于 2024-08-09 15:43:06 发布

阅读量129

点赞数 1

分类专栏：复现文章标签： linux 运维安全 windows 服务器

本文链接：https://blog.csdn.net/qq_44640313/article/details/130448164

版权

复现专栏收录该内容

11 篇文章 0 订阅

订阅专栏

本文介绍了如何使用AndroidKiller分析APP的包名、入口和服务器地址，以及在内存镜像中查找进程信息、执行路径、DLL数量和网络连接详情。在内存镜像分析中，关注了镜像创建时间、进程ID、执行方式以及网络通信的IP和端口。

摘要由CSDN通过智能技术生成

根据检材3回答下列问题

问一：现已获取某个APP程序，请您对以下问题进行分析解答。本程序包名是?

打开AndroidKiller进行程序分析，在入口处就可看到包名

问二：本程序的入口是?

接上一问直接看入口

问三：本程序的服务器地址的明文是?

也是入口处找到的

问四：本程序实现安全检测的类的名称是?

分析发现应该是a

参考博客：2018年美亚杯电子数据取证大赛-团体赛_YAy17的博客-CSDN博客

根据检材4回答下列问题

问一：从内存镜像档案的数据显示，该镜像档案的建立日期是? （答案格式－“世界协调时间＂：YYYY-MM-DD HH:MM:SS UTC）

A. 2018-11-02 08:31:12 UTC

B. 2018-11-02 10:31:12 UTC

C. 2018-11-02 14:31:12 UTC

D. 2018-11-02 18:31:12 UTC

E. 2018-11-02 20:31:12 UTC

首先为了方便把内存镜像的文件名改成了1.dmp

imageinfo看看镜像信息，Image date and time就是答案，选B

问二：在内存镜像中，就进程javaw.exe而言，它的进程id是?

A. 2364 B. 2616 C. 26 D. 459 E. 8003975b30

由第一题得知了它的镜像系统，我们用Win7SP1x64来做，pslist列出内存中的进程即可得知sid结果，选A

参考知识：【LINUX】主进程、父进程、子进程、守护进程的概念 - 空城夕 - 博客园 (cnblogs.com)

问三：接上题，javaw.exe 是经以下哪个方法在系统上执行？

A. 利用命令提示符(cmd)执行

B. 利用psexec软行

C. 于Windows资源管理器上双击档案执行

D. 于运行中执行

E. 于系统启时自动执行

由上一题可知，javaw.exe的父进程是2616；看了大佬的博客，这题换句话说，也就是找javaw.exe的父进程是谁，很有道理。那么我们就找pid为2616的进程，发现是explorer.exe即Windows 资源管理器，选C

问四：接上题，根据javaw.exe 的进程，它首先执行了下列哪个指令

A. C:\Program Files\Java\jdk1.8.0_191(2)\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\asda.jar

B. C:\Program Files\Java\jdk1.8.0_191\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\asda.jar

C. C:\Program Files\Java\jdk1.8.0_191\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\victor_personal_data.pdf.jar

D. C:\Program Files\Java\jdk1.8.0_191(1)\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\asda.jar

E. C:\Program Files\Java\jdk1.8.0_191(1)\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\victor_personal_data.pdf.jar

使用dlllist – 显示每个进程的加载dll列表，volatility.exe -f 1.dmp --profile=Win7SP1x64_23418 dlllist -p 2364,直接看到选D

参考知识：Dll的隐式链接和显示链接显示连接dll和隐式链接FFE5的博客-CSDN博客

问五：接上题，javaw.exe的进程在执行时会呼叫了多少个动态链接函式库(Dynamic Linked Library)?

A. 79 B. 80 C. 81 D. 82 E. 83

由上一题的dlllist后导入excel分析一下，搜索后发现有80个，选B

问六：接上题，javaw.exe的进程曾连接至哪一网络地址(IP Address)？

A. 119.188.13.180 B. 192.168.72.128 C. 220.246.55.13 D. 120.241.102.156 E. 23.41.99.52

查看网络netscan ，volatility.exe -f 1.dmp --profile=Win7SP1x64 netscan，选C

问七：接上题，javaw.exe的进程曾连接至上述网络地址的哪个端口(port)？

A. 1505 B. 1506 C. 49290 D. 1505 & 1506 E. 1505 & 49290

看看上一题的网络连接情况，选D