内存取证例题

最新推荐文章于 2023-04-27 20:24:48 发布
最新推荐文章于 2023-04-27 20:24:48 发布
阅读量439 收藏 1
点赞数
文章标签: 网络 运维 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59706867/article/details/130125668
版权
  1. 从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位); 

先查看系统信息

 

volatility -f worldskills3.vmem --profile=Win7SP1x64 printkey -K "SAM\dOMAINS\aCCOUNT\Users\Names"

 

Hashdump获取哈希值

 

可以使用john工具来爆破密码,但是好像没用。试试lasdump命令来查看

 

百度搜索md5工具

Flag{admin,fsddew}

2.获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;

用netscan可以查看ip

 

ip:192.168.85.129

主机名需要通过查询注册表,先用hivelist

 

一步步的去建名

volatility -f worldskills3.vmem --profile=Win7SP1x64 -o0xfffff8a000024010 printkey

 

volatility -f worldskills3.vmem --profile=Win7SP1x64 -o0xfffff8a000024010 printkey -K"ControlSet001"

 

volatility -f worldskills3.vmem --profile=Win7SP1x64 -o0xfffff8a000024010 printkey -K"ControlSet001\Control"

 

volatility -f worldskills3.vmem --profile=Win7SP1x64 -o0xfffff8a000024010 printkey -K"ControlSet001\Control\ComputerName"

 

volatility -f worldskills3.vmem --profile=Win7SP1x64 -o0xfffff8a000024010 printkey -K"ControlSet001\Control\ComputerName\ComputerName"

 

Flag:{ 192.168.85.129,WIN-9FBAEH4UV8C}

3.获取当前系统浏览器搜索过的关键词,作为 Flag 提交;

这里使用iehistory

volatility -f worldskills3.vmem --profile=Win7SP1x64 iehistory

 

Flag:{ admin@file:///C:/Users/admin/Desktop/flag.txt}

4.当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;

volatility -f worldskills3.vmem --profile=Win7SP1x64 netscan

 

Falg:{54.36.109.161:2222}

5.恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。

上一题中已经知道进程号是2588

volatility -f worldskills3.vmem --profile=Win7SP1x64 pslist -p 2588

 

查到父进程是3036

volatility -f worldskills3.vmem --profile=Win7SP1x64 svcscan

 

Falg:{VMnetDHCP}

'陳平安'
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
内存取证_VolatilityGUI做CTF内存取证
weixin_32924159的博客
01-12 1860
Volatility,内存取证工具,一直以来都很“清高”地以命令行方式“行走江湖”,完全不顾自己“参数众多”这个“爆炸”形象,有种“任我行”的味道,直接影响“我等小白”的用户体验。自2018年作者根据用户需求开发了GUI界面以来,受到了热烈地、广泛地欢迎,最近抽空升级改造,形成了目前的2.0版本。现结合一个CTF的内存取证题来做个功能讲解。一、程序界面 一眼看去,界面上功能...
内存取证练习
SwBack的博客
05-10 690
题目描述 内存取证是一种比较主观性的题目 My friend John is an “environmental” activist and a humanitarian. He hated the ideology of Thanos from the Avengers: Infinity War. He sucks at programming. He used too many variables while writing any program. One day, John gave me
内存取证常见例题思路方法-volatility (没有最全 只有更全)
路baby的博客
02-22 4115
内存取证常见例题思路方法-volatility (🎈没有最全 只有更全🎈) 决定出一期内存取证常见题型的文章,利于诸君平时做题 文章也会持续更新 加油各位( •̀ ω •́ )y 期待与君再相逢🎈
内存取证真题(使用volatility工具)
m0_57696734的博客
07-16 2130
内存取证
内存取证 volatility
07-12
内存取证 volatility
内存取证的框架
01-20
该为在内存取证中常用的框架,功能强大,使用该框架分析出电脑有无染上恶意代码或恶意病毒。
内存取证的艺术
02-21
取证分析,从日志,内存等方面去分析当一个机器被入侵后,会出现一些什么情况。还有涉及到注册表,以及一些文件夹里面存在的历史记录等等。还有浏览器浏览记录
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
内存取证工具 MAGNET RAM Capture
11-09
小巧 300K左右 纯净
内存取证入门第二题
admin的博客
07-06 735
题目链接。链接:https://pan.baidu.com/s/1bytz9mF_IOBrXY_NYtIgNQ--来自百度网盘超级会员V2的分享
2022年安徽省赛赛题——B-1任务一:内存取证
panda.
09-23 1047
2022年安徽省赛赛题——B-1任务一:内存取证
CTF-内存取证
梳碧湖的砍柴人
12-13 2977
一道简单得CTF题,主要是内存取证方法 ![在这里插入图片描述](https://img-blog.csdnimg.cn/dfa0a8d28dcd4072973bb9b3f38e45e7.png?x-oss-process=image/watermark,type _d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5YiY5aeR5aiY55qE5oSP5Lit5Lq6,size_19,color_FFFFFF,t_70,g_se,x_16) ...
记一次比赛的内存取证-基础训练 题目质量扎实
ntrybw的博客
04-27 1513
此题其实考验对rootkit病毒的熟知程度,通常情况下rootkit病毒在windows系统中最喜欢干的事就是通过svchost进程进行捆绑,因为svchost是系统守护程序,是不能通过常规手段停止的,那么任何与之关联的程序也都没有办法通过常规杀软去清除,因为svchost启动等级高于常规杀软,所以若是想清除与svchost捆绑的程序,需要进入到系统安全模式下,并使用最小化启动,然后找到svchost注册表项清除对应捆绑关系再删掉木马就行了。相差8小时,我不知道有什么区别,从utc来看都是一样的。
OtterCTF 内存取证(1-5)
volcano的博客
07-12 4166
.
内存取证_V&N2020 公开赛Misc-内存取证 Writeup
weixin_39869959的博客
01-12 459
随随便便打个比赛,这道题是做到的最恶心的。卡了接近12h。废话少说,先来看题。内存取证,附件下载下来是个512M的内存Dump。直接上神器 Volatility,看看有啥进程。存在以下几个可疑的mspaint.exenotepad.exeTrueCrypt.exe 取证大师扫一下,看到个 share.txt,提示百度云链接,以及提取码 heem(或者你愿意也可以手动在strings里面找可疑的,笑...
内存取证CTF-Memlabs靶场3
qq_42947816的博客
02-01 1565
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
内存取证入门第一题
admin的博客
07-02 1294
试题链接:https://pan.baidu.com/s/1nDo5N4uHnV8a5hYXScV4nQ--来自百度网盘超级会员V2的分享
内存取证(仅个人思路)
旺仔Sec&blog
11-23 4257
volatility -f test2.raw imageinfo 获取镜像详细信息 profile参数很重要 volatility -f test2.raw --profile=Win7SP1x64 hashdump 获取镜像的hash值及用户名 获取之后可以使用john工具进行字典解密 或者使用ophcrack破解 如果比赛的时候有mimikatz插件 可以直接使用mimikatz进行破解 直接出密码 还有一种是 lsadump 能出来断断续续的密码 不是完整的 ...
linux内存取证例题
最新发布
01-16
Linux内存取证是通过分析目标系统的内存内容来收集证据和信息,以便解决计算机取证案件。以下是一个Linux内存取证例题: 一台Linux服务器被怀疑遭到黑客攻击,管理员需要对其内存进行取证分析,以确定攻击者的活动和获取证据。首先,管理员需要通过命令行工具或者专业取证工具获取服务器的内存镜像。接着,需要对内存镜像进行分析,寻找可能的攻击痕迹。 在分析内存镜像时,需要注意以下几个方面: 1. 进程和线程:查看运行的进程和线程,以确定是否有异常的程序或者未知的进程在运行。 2. 网络连接:分析内存中的网络连接信息,查找是否有不正常的网络活动,比如与未知主机的连接、大量的数据传输等。 3. 内存中的文件:检查内存中的文件内容,寻找是否有可疑的文件被加载到内存中。 4. 历史活动记录:查看内存中的历史活动记录,比如命令历史和登录记录,找出是否有异常的操作。 通过以上分析,管理员可以确定是否遭到了攻击,以及攻击者的行为和活动轨迹。同时也可以收集到用于取证的信息,如攻击者的IP地址、使用的工具和技术等。这些信息将有助于对案件进行调查和取证。 通过这个例题,可以看到Linux内存取证对于解决计算机取证案件具有重要的意义,同时也需要管理员具备专业的技能和工具来进行取证分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

'陳平安'

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值