内存取证例题

最新推荐文章于 2025-04-12 11:20:07 发布
最新推荐文章于 2025-04-12 11:20:07 发布
阅读量724 收藏 3
点赞数 2
文章标签: 网络 运维 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59706867/article/details/130125668
版权
  1. 从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位); 

先查看系统信息

 

volatility -f worldskills3.vmem --profile=Win7SP1x64 printkey -K "SAM\dOMAINS\aCCOUNT\Users\Names"

 

Hashdump获取哈希值

 

可以使用john工具来爆破密码,但是好像没用。试试lasdump命令来查看

 

百度搜索md5工具

Flag{admin,fsddew}

2.获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;

用netscan可以查看ip

 

ip:192.168.85.129

主机名需要通过查询注册表,先用hivelist

 

一步步的去建名

volatility -f worldskills3.vmem --profile=Win7SP1x64 -o0xfffff8a000024010 printkey

 

volatility -f worldskills3.vmem --profile=Win7SP1x64 -o0xfffff8a000024010 printkey -K"ControlSet001"

 

volatility -f worldskills3.vmem --profile=Win7SP1x64 -o0xfffff8a000024010 printkey -K"ControlSet001\Control"

 

volatility -f worldskills3.vmem --profile=Win7SP1x64 -o0xfffff8a000024010 printkey -K"ControlSet001\Control\ComputerName"

 

volatility -f worldskills3.vmem --profile=Win7SP1x64 -o0xfffff8a000024010 printkey -K"ControlSet001\Control\ComputerName\ComputerName"

 

Flag:{ 192.168.85.129,WIN-9FBAEH4UV8C}

3.获取当前系统浏览器搜索过的关键词,作为 Flag 提交;

这里使用iehistory

volatility -f worldskills3.vmem --profile=Win7SP1x64 iehistory

 

Flag:{ admin@file:///C:/Users/admin/Desktop/flag.txt}

4.当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;

volatility -f worldskills3.vmem --profile=Win7SP1x64 netscan

 

Falg:{54.36.109.161:2222}

5.恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。

上一题中已经知道进程号是2588

volatility -f worldskills3.vmem --profile=Win7SP1x64 pslist -p 2588

 

查到父进程是3036

volatility -f worldskills3.vmem --profile=Win7SP1x64 svcscan

 

Falg:{VMnetDHCP}

内存取证入门第二题
admin的博客
07-06 1095
题目链接。链接:https://pan.baidu.com/s/1bytz9mF_IOBrXY_NYtIgNQ--来自百度网盘超级会员V2的分享
2022年安徽省赛赛题——B-1任务一:内存取证
panda.
09-23 1280
2022年安徽省赛赛题——B-1任务一:内存取证
内存取证例题及Volatility2.6的使用(含命令详细解析)
焦虑的焦虑
06-01 4793
应急响应-内存镜像分析-进程分析-Volatility2.6使用
内存取证入坑 第2题(有WP和环境)
最新发布
p2907569229的博客
04-12 976
有问题欢迎评论,我看到都会解答。
内存取证_VolatilityGUI做CTF内存取证
weixin_32924159的博客
01-12 2062
Volatility,内存取证工具,一直以来都很“清高”地以命令行方式“行走江湖”,完全不顾自己“参数众多”这个“爆炸”形象,有种“任我行”的味道,直接影响“我等小白”的用户体验。自2018年作者根据用户需求开发了GUI界面以来,受到了热烈地、广泛地欢迎,最近抽空升级改造,形成了目前的2.0版本。现结合一个CTF的内存取证题来做个功能讲解。一、程序界面 一眼看去,界面上功能...
内存取证练习
SwBack的博客
05-10 906
题目描述 内存取证是一种比较主观性的题目 My friend John is an “environmental” activist and a humanitarian. He hated the ideology of Thanos from the Avengers: Infinity War. He sucks at programming. He used too many variables while writing any program. One day, John gave me
记一些内存取证
m0_74057302的博客
05-07 1134
生活若循规蹈矩,我们便随心而动
内存取证常见例题思路方法-volatility (没有最全 只有更全)
路baby的博客
02-22 5349
内存取证常见例题思路方法-volatility (🎈没有最全 只有更全🎈) 决定出一期内存取证常见题型的文章,利于诸君平时做题 文章也会持续更新 加油各位( •̀ ω •́ )y 期待与君再相逢🎈
linux内存取证例题
01-16
以下是一个Linux内存取证例题: 一台Linux服务器被怀疑遭到黑客攻击,管理员需要对其内存进行取证分析,以确定攻击者的活动和获取证据。首先,管理员需要通过命令行工具或者专业取证工具获取服务器的内存镜像。...
内存取证之volatility(例题[护网杯]Easy_dump)
苏生要努力
02-27 1079
上面英文翻译结果如下,这是一个维吉尼亚密码,秘钥是aeolus,有了加密方式,有了秘钥,需要密文。在这里发现这个notepad.exe ,想到看记事本里面的内容,寻找线索。6 检查phos.jpg图片,图片无法查看,使用binwalk查看。在2616.dmp里面直接搜flag有关的信息,得到下一个提示是。8 怀疑这些数字是坐标,于是上脚本转换一下试试 ,得到二维码图片。寻找到一个.swp文件,如果熟悉它,知道是中断文件,直接恢复。文件,再次使用binwalk工具提取里面的文件。,即可得到隐藏在里面的。
2021-内存取证wp
Maya_Soy的博客
06-15 3235
使用工具 volatility WinHex 1.内存中获取到用户admin的密码并且破解密码,作为flag提交; 使用imageinfo得到操作系统 volatility.exe -f E:\网络安全\volatility\1.vmem imageinfo 使用hashdump得到密码hash volatility.exe -f E:\网络安全\volatility\1.vmem --profile=Win7SP1x64 hashdump 使用hashcat破解密码hash,得到明文密码
内存取证真题
苏生要努力
02-25 1432
背景:作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。应急响应阶段题目主要包含:Windows 内存镜像分析,Linux 内存镜像分析, 磁盘文件恢复,恶意程序分析等内容。
内存取证真题(使用volatility工具)
m0_57696734的博客
07-16 3638
内存取证
CTF-内存取证
梳碧湖的砍柴人
12-13 3150
一道简单得CTF题,主要是内存取证方法 ![在这里插入图片描述](https://img-blog.csdnimg.cn/dfa0a8d28dcd4072973bb9b3f38e45e7.png?x-oss-process=image/watermark,type _d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5YiY5aeR5aiY55qE5oSP5Lit5Lq6,size_19,color_FFFFFF,t_70,g_se,x_16) ...
记一次比赛的内存取证-基础训练 题目质量扎实
ntrybw的博客
04-27 2981
此题其实考验对rootkit病毒的熟知程度,通常情况下rootkit病毒在windows系统中最喜欢干的事就是通过svchost进程进行捆绑,因为svchost是系统守护程序,是不能通过常规手段停止的,那么任何与之关联的程序也都没有办法通过常规杀软去清除,因为svchost启动等级高于常规杀软,所以若是想清除与svchost捆绑的程序,需要进入到系统安全模式下,并使用最小化启动,然后找到svchost注册表项清除对应捆绑关系再删掉木马就行了。相差8小时,我不知道有什么区别,从utc来看都是一样的。
OtterCTF 内存取证(1-5)
volcano的博客
07-12 4495
.
内存取证_V&N2020 公开赛Misc-内存取证 Writeup
weixin_39869959的博客
01-12 539
随随便便打个比赛,这道题是做到的最恶心的。卡了接近12h。废话少说,先来看题。内存取证,附件下载下来是个512M的内存Dump。直接上神器 Volatility,看看有啥进程。存在以下几个可疑的mspaint.exenotepad.exeTrueCrypt.exe 取证大师扫一下,看到个 share.txt,提示百度云链接,以及提取码 heem(或者你愿意也可以手动在strings里面找可疑的,笑...
内存取证CTF-Memlabs靶场3
qq_42947816的博客
02-01 1865
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

'陳平安'

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值