Path To Glory 1
恶意软件是如何进入rick的电脑的?这一定是一种古老的非法习惯。。。
如何进行pc的 ,古老的方法,: 下载文件 ,蠕虫病毒传播 ,
先看下载文件
volatility.exe -f .\OtterCTF.vmem --profile=Win7SP1x64 filescan
但是这样 太多数据了
下载文件 。。。 前面看见一个动画片 ,
Rick And Morty
volatility.exe -f .\OtterCTF.vmem --profile=Win7SP1x64 filescan | Select-String “Rick and Morty”
0x000000007d63dbc0 10 0 R--r-d \Device\HarddiskVolume1\Torrents\Rick And Morty season 1 download.exe
0x000000007d6b3a10 11 1 R--rw- \Device\HarddiskVolume1\Torrents\Rick and Morty - Season 3 (2017) [1080p]\Rick.and.Morty.S03E07.The.Ricklantis.M
ixup.1080p.Amazon.WEB-DL.x264-Rapta.mkv
0x000000007d7adb50 17 1 R--rw- \Device\HarddiskVolume1\Torrents\Rick and Morty - Season 3 (2017) [1080p]\Rick.and.Morty.S03E06.Rest.and.Ricklax
ation.1080p.Amazon.WEB-DL.x264-Rapta.mkv
0x000000007d8813c0 2 0 RW-rwd \Device\HarddiskVolume1\Users\Rick\Downloads\Rick And Morty season 1 download.exe.torrent
0x000000007da56240 2 0 RW-rwd \Device\HarddiskVolume1\Torrents\Rick And Morty season 1 download.exe
0x000000007dae9350 2 0 RWD--- \Device\HarddiskVolume1\Users\Rick\AppData\Roaming\BitTorrent\Rick And Morty season 1 download.exe.1.torrent
0x000000007dcbf6f0 2 0 RW-rwd \Device\HarddiskVolume1\Users\Rick\AppData\Roaming\BitTorrent\Rick And Morty season 1 download.exe.1.torrent
0x000000007e5f5d10 3 1 R--rw- \Device\HarddiskVolume1\Torrents\Rick and Morty Season 2 [WEBRIP] [1080p] [HEVC]\[pseudo] Rick and Morty S02E03
Auto Erotic Assimilation [1080p] [h.265].mkv
0x000000007e710070 8 0 R--rwd \Device\HarddiskVolume1\Torrents\Rick And Morty season 1 download.exe
0x000000007e7ae700 3 1 R--rw- \Device\HarddiskVolume1\Torrents\Rick and Morty Season 2 [WEBRIP] [1080p] [HEVC]\Sample\Screenshot 08.png
一个个dump出来查看
dump 好几个 全是乱码
xxd 查看也没有啥
dump 这个文件的时候就没有乱码,可疑download.exe.torrent
当dump 到
volatility.exe -f .\OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007dae9350 -D .\rick\
出现了没有乱码的数据
website19:M3an_T0rren7_4_R!cke
去测试
M3an_T0rren7_4_R!ck 这是正确的flag 只能是这个ctf的flag 真的是傻逼
Path To Glory 2
<br />在恶意软件进入后继续搜索。
尝试搜索浏览器
存在谷歌浏览器 肯定在谷歌浏览器下载的
把chrome dump 出来
volatility.exe -f .\OtterCTF.vmem memdump -n chrome.exe -D .\rick\
我这边好像dump 不了
是没有插件嘛
贴网上的图