Securinets CTF Quals 2022 Forensics

最新推荐文章于 2022-11-16 11:03:04 发布

vlan103

最新推荐文章于 2022-11-16 11:03:04 发布

阅读量320

点赞数 1

文章标签： wp

本文链接：https://blog.csdn.net/qq_51652400/article/details/124105129

版权

文章目录

写在前面
MAL

写在前面

咕咕了三个礼拜，不顺心的事情接踵而至，颓废了不少。这场比赛是凌晨两点开赛，四点钟自然醒就来打了，换来的结果就是自己类的要死结果啥也没搞出来。最后哔哔一句大哥🐂逼，菜🐕就要多学习。

MAL

raw后缀名，vol打开
获取系统信息

┌──(wha1e㉿wha1e)-[~/volatility]
└─$ python vol.py -f /home/wha1e/桌面/mal.raw --profile=Win7SP1x64 imageinfo  
Volatility Foundation Volatility Framework 2.6.1
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_24000, Win7SP1x64_23418
                     AS Layer1 : WindowsAMD64PagedMemory (Kernel AS)
                     AS Layer2 : FileAddressSpace (/home/wha1e/桌面/mal.raw)
                      PAE type : No PAE
                           DTB : 0x187000L
                          KDBG : 0xf800029fe0a0L
          Number of Processors : 1
     Image Type (Service Pack) : 1
                KPCR for CPU 0 : 0xfffff800029ffd00L
             KUSER_SHARED_DATA : 0xfffff78000000000L
           Image date and time : 2022-04-09 12:28:27 UTC+0000
     Image local date and time : 2022-04-09 05:28:27 -0700

查看进程。（以后都用pstree算了，pslist只是单纯把进程列出来，pstree可以展现出父子进程的关系）

┌──(wha1e㉿wha1e)-[~/volatility]
└─$ python vol.py -f /home/wha1e/桌面/mal.raw --profile=Win7SP1x64 pstree

发现以下内存比较可疑

. 0xfffffa801a970a90:firef0x.exeexe                  3492   1904      8    198 2022-04-09 12:27:38 UTC+0000
.. 0xfffffa801a3edb30:WindowsUpdater                 3468   3492      1     74 2022-04-09 12:27:38 UTC+0000

dump出来（我是傻逼，进程和程序都没分清）

┌──(wha1e㉿wha1e)-[~/volatility]
└─$ python vol.py -f /home/wha1e/桌面/mal.raw --profile=Win7SP1x64 filescan | grep  "WindowsUpdater"                   
Volatility Foundation Volatility Framework 2.6.1
0x000000007df7b140      3      0 R--r-d \Device\HarddiskVolume2\Users\CTF\Videos\WindowsUpdater.exe
0x000000007e761b20      2      0 R--r-d \Device\HarddiskVolume2\Users\CTF\Downloads\WindowsUpdater.exe

提取Downloads下的出来

┌──(wha1e㉿wha1e)-[~/volatility]
└─$ python vol.py -f /home/wha1e/桌面/mal.raw --profile=Win7SP1x64 dumpfiles -Q 0x0000000007e761b20 -D /home/wha1e/桌面
Volatility Foundation Volatility Framework 2.6.1
ImageSectionObject 0x7e761b20   None   \Device\HarddiskVolume2\Users\CTF\Downloads\WindowsUpdater.exe
DataSectionObject 0x7e761b20   None   \Device\HarddiskVolume2\Users\CTF\Downloads\WindowsUpdater.exe