CTF题记Volatility—取证小集合

最新推荐文章于 2024-05-07 11:05:41 发布
最新推荐文章于 2024-05-07 11:05:41 发布
阅读量822 收藏 5
点赞数 1
分类专栏: CTF 文章标签: 网络安全 安全 渗透测试 CTF 比赛 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48609816/article/details/129411293
版权
本文介绍了使用Volatility工具进行内存取证的过程,包括Volatility的基本介绍、如何使用、以及在湖湘杯、BUU内存取证和easydump等案例中的应用。通过分析内存镜像,提取关键信息,如进程、文件、服务、网络连接等,解决各种取证挑战。
摘要由CSDN通过智能技术生成

volatility介绍

Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证。Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。

在不同系统下都有不同的软件版本,官网地址:https://www.volatilityfoundation.org/26

"食用"方法

判断镜像信息,获取操作系统类型

volatility -f ?.img/raw/... imageinfo
1

知道操作系统类型后,用–profile指定

volatility -f ?.img --profile=...
1

查看当前显示的notepad文本

volatility  -f file.raw --profile=WinXPSP2x86 notepad
1

查看当前运行的进程

volatility  -f file.raw --profile=WinXPSP2x86 psscan/pslist
1

扫描所有的文件列表(常常结合grep)

volatility  -f file.raw --profile=WinXPSP2x86 filescan
1

根据offset提取出文件

volatility  -f file.raw --profile=WinXPSP2x86 dumpfiles -D . -Q 0x.....
1

扫描 Windows 的服务

volatility -f file.raw --profile=WinXPSP2x86 svcscan
1

查看网络连接

volatility -f file.raw --profile=WinXPSP2x86 connscan
1

查看命令行上的操作

volatility -f file.raw --profile=WinXPSP2x86 cmdscan
1

根据pid dump出相应的进程

volatility -f easy_dump.img --profile=Win7SP1x64 memdump -p 2580 -D 目录
1

常用命令

题目

湖湘杯(取证)

一个G的raw文件,工具分析就行了。

使用

#使用imageinfo参数查看内存是什么系统的镜像
volatility -f men.raw imageinfo			#profile=Win7SP1x86_23418#直接查看用户名和密码hash
volatility -f men.raw --profile=Win7SP1x86_23418 hashdump
1234

然后看到三个用户

最低0.47元/天 解锁文章
Beluga
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
CTF内存取证入坑指南!稳!题目
03-28
内存取证类,了解到了一款牛逼的工具——Volatility
CTF取证类题目指南
01-09
CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是...
内存取证-Volatility安装使用以及一些CTF比赛题目
Bnessy
04-02 2万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
2024年网络安全最新CTF-misc(1)图片隐写_二维码补全(1),2024年最新最新整理
最新发布
2401_84264583的博客
05-07 979
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
CTF之misc-内存分析(Volatility
热门推荐
Battery的博客
05-04 12万+
Volatility 简介: Volatility是一款开源的,基于Python开发的内存取证工具集,可以分析内存 中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、 Android操作系统的RAM数据进行提取与分析。(高等级版本kali现需要自己下载Volatility,依赖于python环境安装)volatility 使用: 开始准备: volatility -f <文件名>–profile= <配置文件><插件>[插件.
Otter CTF取证专项赛)WP兼volatility取证工具运用技巧
Nancy523的博客
07-14 2534
复现赛链接:NSSCTF - OtterCTF 2018(复现赛) (ctfer.vip)附件链接:OtterCTF.7zyou got a sample of rick’s PC’s memory. can you get his user password?惯例,拿到附件以后先分析一下映像的信息使用hashdump来获取用户hash使用lsadump从注册表中提取LSA秘钥信息(mimikatz也可以)Let’s start easy - whats the PC’s name and IP addre
CTF 使用 Volatility 2 安装 | 内存取证分析.vmem文件 | Volatility 2 适配 python 3
A Little Bean
04-20 2118
在做CTF的时候会碰到 .vmem 文件需要进行分析。vmem文件是虚拟机的分页文件,它备份宿主机文件系统上的guest主内存。此文件仅在虚拟机运行时存在,或者虚拟机崩溃时存在 [1]。这时候就需要 Volatility 文件进行分析。
取证导论 & Volatility入门使用——ctf公开课笔记记录
m0_75196987的博客
04-16 786
取证导论 & Volatility入门使用。——来自 长空网络实验室。不建议广泛传播。
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
CTF取证类题目指南1.pdf
03-13
CTF 中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。 任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取 隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被...
CTF 六大方向基础工具合集
网络安全
11-27 4823
今天来为大家分享CTF 六大方向基础工具简介集合。本文中提到的所有工具ctf部落中均有,加入方式见文末。
Volatility2安装使用以及CTF比赛题目(复现)
Aluxian_的博客
12-05 5789
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。题目链接:链接: https://pan.baidu.com/s/1s9Ey8G12COT_vI65TwhIKw?pwd=shkd 提取码: shkd Volatility2.6需要python2,pip安装模块也需要2版本,具体命令根据实际情况调整。本次是比赛题目的复现参考大佬链接自己在做了一遍:https://bnessy.blog.csdn.net/articl
OtterCTF---Memory Forensics内存取证(1-13)
m0_65712192的博客
05-09 1635
OtterCTF 内存取证(1-13)
OtterCTF—内存取证wp
m0_66638011的博客
05-09 5027
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
volatility内存取证
wha1e的博客
02-07 8817
取证CTF中占比越来越大,甚至某些比赛中misc全是取证。在之前的比赛中wha1e表示束手无策很难受,所以乘着实习摸鱼期间学习了一下。
JavaScript学习笔记(二十)DOM动画效果
2401_84254011的博客
04-28 495
/0 ~ 100}else{//100// 3. 速度取整;}else{}else{// 4. 终止条件;} , 50)
BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证
pone2233的博客
10-29 3282
题目介绍 这道题目,我们要在Buu上面做需要的步骤需要调整,先下载链接内容,然后在下载附加。 BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证 P1 我们使用volatility,进行镜像分析 volatility -f mem.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on
CTF-朴实无华的内存取证
qq_43611848的博客
01-11 4601
题目描述 链接:https://pan.baidu.com/s/1dC4reO8opHQ3yZ8PdtD_AQ 提取码:lzsa 解题过程: 1.下载文件1.raw,放到kali里。 2.volatility -f 1.raw imageinfo 2.尝试第一个profile类型,查看进程 volatility -f 1.raw pslist --profile=WinXPSP2x86 3.grep过滤flag关键字试试 volatility -f 1.raw --profile=WinXPSP2x86
RSA e很小 ctf
10-15
CTF比赛中,有时候会出现RSA e很小的情况,这时候可以使用低指数攻击(Low-Exponent Attack)来破解RSA加密。 低指数攻击的基本思想是:如果明文m比较小,而e也比较小,那么可以通过对密文c进行多次开方,最终...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Beluga

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值