目录
misc
ezWin - variables
从0开始学windows内存取证呜呜呜
volatility3 下载安装:
kali:
git clone GitHub - volatilityfoundation/volatility3: Volatility 3.0 development
此时桌面生成一个文件夹,cd到文件夹
pip3 install -r requirements-minimal.txt
pip3 install -r requirements.txt
下载下面这个字符集
https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip
然后解压后放到symbols目录下
然后执行
python3 setup.py build
python3 setup.py install
后面做题填个坑:
然后安装环境requirements.txt报错时
sudo apt install libsnappy-dev
安装成功
常用命令:
- imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一参数
- pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以
- pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程
- psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
- cmdscan:可用于查看终端记录
- notepad:查看当前展示的 notepad 文本(–profile=winxp啥的低版本可以,win7的不行,可以尝试使用editbox)
- filescan:扫描所有的文件列表
- linux配合 grep 命令进行相关字符定向扫描,如:grep flag、grep -E ‘png|jpg|gif|zip|rar|7z|pdf|txt|doc’
- dumpfiles:导出某一文件(指定虚拟地址)
- 需要指定偏移量 -Q 和输出目录 -D
- mendump:提取出指定进程,常用foremost 来分离里面的文件
- 需要指定进程-p [pid] 和输出目录 -D
- editbox:显示有关编辑控件(曾经编辑过的内容)的信息
- screenshot:保存基于GDI窗口的伪截屏
- clipboard:查看剪贴板信息
- iehistory:检索IE浏览器历史记录
- systeminfo:显示关于计算机及其操作系统的详细配置信息(插件)
- hashdump:查看当前操作系统中的 password hash,例如 Windows 的 SAM 文件内容(mimikatz插件可以获取系统明文密码)
- mftparser:恢复被删除的文件
- svcscan:扫描 Windows 的服务
- connscan:查看网络连接
- envars:查看环境变量
- dlllist: 列出某一进程加载的所有dll文件
- hivelist: 列出所有的注册表项及其虚拟地址和物理地址
- timeliner: 将所有操作系统事件以时间线的方式展开
官方教程:Windows Tutorial — Volatility 3 2.4.1 documentation
题目这个
variables
是啥变量,猜测是环境变量
使用命令
python3 vol.py -f /home/kali/桌面/win10_22h2_19045.2486.vmem envars
翻找到一个环境变量
ezWin - 7zip
python3 vol.py -f /home/kali/桌面/win10_22h2_19045.2486.vmem filescan > 1.txt
查看文件
打开1.txt检索flag发现存在flag.7z文件
提取这个文件
python3 vol.py -f ../win10_22h2_19045.2486.vmem dumpfiles --virtaddr 0xd0064181c950
得到
发现需要密码
文件名给了提示
nt_hash 是Ntlm hash 里面有用户名和密码
python3 vol.py -f ../win10_22h2_19045.2486.vmem windows.hashdump
这里一开始尝试的时候报错了
原因是pip安装不了snappy-dev库
前面安装环境的时候
pip3 install -r requirements.txt
报错
然后就跑出账号密码了
hgame{e30b6984-615c-4d26-b0c4-f455fa7202e2}
ezWin - auth
python3 vol.py -f ../win10_22h2_19045.2486.vmem windows.cmdline
一开始没啥思路,就先做了第3题,没想到这题flag是下一题的key
python3 vol.py -f ../win10_22h2_19045.2486.vmem windows.hashdump
hgame{84b0d9c9f830238933e7131d60ac6436}