[OtterCTF 2018]Bit 4 Bit

于 2024-06-29 22:04:06 发布
阅读量244 收藏 2
点赞数 6
分类专栏: # 取证 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52579508/article/details/140071410
版权

image.png
我们已经发现这个恶意软件是一个勒索软件。查找攻击者的比特币地址。**

勒索软件总喜欢把勒索标志丢在显眼的地方,所以搜索桌面的记录

volatility.exe -f .\OtterCTF.vmem --profile=Win7SP1x64 filescan | Select-String “Desktop”

image.png

0x000000007d660500 2 0 -W-r-- \Device\HarddiskVolume1\Users\Rick\Desktop\READ_IT.txt
0x000000007e410890 16 0 R–r-- \Device\HarddiskVolume1\Users\Rick\Desktop\Flag.txt

这两个很可疑
提取出来看看
image.png
查看
image.png
flag 好像没有啥 乱码
read 文件

Your files have been encrypted.
Read the Program for more information
read program for more information.

您的文件已被加密。
阅读程序了解更多信息
阅读程序了解更多信息。

意思好像被加密了
提示我们查看程序获得更多信息(就是上面的vmware-tray.exe)
image.png
image.png
根据提示是勒索病毒 (ransomware)
搜索 他

strings -e l 3720.dmp | grep -i -A 5 “ransomware”

image.png
可疑

1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M

成功,是flag

小龙_(R0 Team)
关注
专栏目录
Vivado2018.3加载bit文件详细过程.pdf
08-15
根据提供的文件信息,本篇文章将详细介绍Vivado2018.3工具软件如何加载bit文件到FPGA器件的过程。 首先需要启动Vivado2018.3设计套件。启动之后,用户需要点击界面中的“Open Hardware Manager”选项来打开硬件管理...
[OtterCTF 2018]之Misc篇(NSSCTF)刷题记录⑦
Aluxian_的博客
05-04 1432
[OtterCTF 2018]之Misc篇(NSSCTF)刷题记录⑦。
内存取证大杂烩(已更新)
qq_73870170的博客
10-29 977
拿到镜像文件现在volatility跑一下imageinfo得到镜像名,Win7SP1x64由1问可知我们的目标是Users可以用filescan来扫一下文件,因为win用户文件会有Users\名用户名为JiaJia。
CTF REVERSE练习之病毒分析
发果叁
08-09 397
首先介绍两个知识点,在后面的实验中运用到的。
CTF网络安全大赛学习笔记1010
qq_45134858的博客
10-10 1585
CTF
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
2401_83974660的博客
04-17 1136
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。查看文件内容,是一段base64编码,对文件开头的一段内容进行base64解码,可以发现解码后的内容是zip文件的数据逆序。
Micro:bit V2 0255固件
02-02
microbit BBC v2固件(hex)
BIT自检测原理,种类
06-21
BIT自检测原理,种类
BIT 思享推送经验心得
最新发布
07-09
BIT 思享历史各期推送的数据,BIT 师兄师姐过往成长经验启迪后来者,也可以用作数据分析 字段包含:日期,标题,导语,原创类型,内容,阅读数,在看数,点赞数,分享数,收藏数,链接
microbit软件汇总
07-05
4. 其他辅助工具: - Blynk:这是一款物联网应用,可以让用户通过手机控制Micro:bit,实现更丰富的交互性项目。Blynk提供了图形化的界面,让用户无需编程知识也能创建自己的应用。 5. 学习资源: - 在线教程:...
工控CTF(wp)
aarong的博客
04-17 9291
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 2701
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
记一次MISC记录(二)
Flamingo1998的博客
01-17 378
某个重要文件被篡改,你能还原文件吗下载压缩包里面有一个exe文件,双击无法打开应用把应用拖进010editor查看,看到是修改过的,是个jpg图片,文件通过base64编码需要使用脚本将base64转换成图片贴一个脚本,需要将base64编码放进src里面解出图片没用发现flag应该是个图片隐写,尝试查看文件长宽是否正确贴一个脚本查看将图片拖进010editor,发现图片高度不对,将高度修改保存查看到flag。
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(1)
2401_84281638的博客
05-07 989
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
网络安全CTF
kklkjfdiiu的博客
04-20 156
【代码】网络安全CTF
CTF-RE-文件数据修复
SuperGate的博客
06-09 6471
题目大致意图是:解密CTF.ctf文件,然后再从中找到flag。 由于.ctf文件损坏,并且解密程序可以判断.ctf文件损坏,因此首先选择逆向这个判断条件。 由于有打开文件的操作,所以可以ollydbg打开,找到CreateFile函数下断点 F9在CreateFile函数停止,发现下面有一串Readfile函数,这个函数被多次调用。显然是在读取文件中的信息。 找到离我们最近的一...
NSSCTF_Misc方向题复现1
m0_74559567的博客
02-09 1298
NSSCTF_Misc方向题复现1,xlsx套娃、神奇的二维码、为什么我什么都看不见、Take me hand、bqt,题目复现持续更新~
4GB RAM:Win7 64bit与32bit的选择关键
"RAM=4GB是决定选择Windows 7 64bit还是32bit的重要因素,因为32bit系统最多只能识别并有效利用约4GB的RAM,而64bit系统则能支持更大的内存,最高可达192GB,具体取决于不同的Windows 7 64bit版本。" 在选择Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值