内存取证
喜欢的是 你的微笑
梦想成为幻想中的那个人
展开
-
[NSSRound#1 Basic]cut_into_thirds
题目分析下载得到一个raw文件,开始内存分析题目说:flag刀成了三份,我们要把三份找到人后拼接起来得到一个UUID。首先常规分析镜像版本。得到镜像的版本是Win7SP1x64然后查看进程vol.py -f ./cut_into_thirds.raw --profile=Win7SP1x64 pslist 主要是LookAtMe.exe这个进程比较可疑尝试把它dump出来先利用memdump来dump出dmp格式的文件vol.py -f ./cut_into_thirds.r原创 2022-04-28 11:48:33 · 451 阅读 · 0 评论 -
[羊城杯 2021]Baby_Forenisc
题目分析下载得到一个raw后缀的文件,先进行内存分析一下首先分析镜像的系统版本得到系统的版本是WinXPSP2x86然后查看进程没看到什么重要的进程,在最后有一个DumpIt的进程,尝试dump出来进行Foremost分离之后也没发现什么有用的信息。然后去查看cmd命令发现用git命令上传了一些文件,然后把本地的文件删除了,说明信息可能在github上了。查看特定的文件可以看到有个ssh.txt文件,联系github中的SSH密钥。将得到的SSH密钥用BASE64解析之后可以发现有原创 2022-04-28 11:44:28 · 699 阅读 · 0 评论 -
BUUCTF [HDCTF2019]你能发现什么蛛丝马迹
题目分析下载到一个.img后缀的文件,其实就是一个软盘的镜像文件,和ISO的镜像差不多,一看这种类型的就是取证了。这里应该是内存取证,使用Volatility工具镜像内存的分析。首先查看镜像的系统版本vol.py -f ./memory.img imageinfo 得到主要看Profile属性,这里显示了三个可能的操作系统版本,都可以试试。在指定了版本之后查看进程vol.py -f memory.img --profile=Win2003SP1x86 pslist 得原创 2022-04-28 11:33:35 · 583 阅读 · 0 评论