前言,在这里介绍一下内存取证的命令,当然光看命令是不行的,那我们就边看边做题目,这里题目是取自于某次省赛的内存取证题目,让我们开始学校吧!
任务编号 | 任务描述 |
1 | 请提交用户桌面下的压缩包的解压密码。 |
2 | 请提交root账户的登录密码(明文)。 |
3 | 请提交用户在命令提示符执行的命令。 |
4 | 请提交记事本程序中的FLAG值。 |
5 | 请将浏览器通过百度搜索引擎搜索的关键字作为FLAG值提交。 |
6 | 请提交剪切板中的FLAG值。 |
7 | 请提交内存镜像中的主机名。 |
8 | 请提交内存镜像的IP地址 |
9 | 请提交内存镜像中恶意进程的PID。 |
1.请提交用户桌面下的压缩包的解压密码
1.确认系统
volatility -f 文件 imageinfo
2.找到文件
volatility -f win7.vmem --profile=Win7SP1x86_23418 filescan | grep -E "zip"
volatility -f win7.vmem --profile=系统 filescan | grep -E "zip"
可以看到最后的Desktop,以此来确定需要解压的文件
3.dump下来
volatility -f win7.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007ff99038 -D /home/kali/Desktop
分析文件属性,发现属于zip,我们给他重命名一下
zip2john hash.zip 获取压缩包的哈希值
将红色区域写入hash.txt
下面可以要用到john工具
这里我已经解过了,所以直接查看
qwer1234
2.请提交root账户的登录密码(明文)
volatility -f win7.vmem --profile=Win7SP1x86_23418 hashdump
volatility -f win7.vmem --profile=Win7SP1x86_23418 lsadump
3.请提交用户在命令提示符执行的命令
volatility -f win7.vmem --profile=Win7SP1x86_23418 cmdscan
4. 请提交记事本程序中的 FLAG 值
volatility -f win7.vmem --profile=Win7SP1x86_23418 editbox
5. 请将浏览器通过百度搜索引擎搜索的关键字作为 FLAG 值提交
volatility -f win7.vmem --profile=Win7SP1x86_23418 iehistory
在这里发现什么都没有,但是我们可以发现上一题里面有这个
flag%7Bc6d1945e8969942ac9dc1f52974436%7D发现类似flag值
这里可以url发现,把#7B和%7D解码为{和}
flag{c6d1945e8969942ac9dc1f52974436}
6. 请提交剪切板中的 FLAG 值
volatility -f win7.vmem --profile=Win7SP1x86_23418 cmdscan
7. 请提交内存镜像中的主机名
1.注册表
volatility -f win7.vmem --profile=Win7SP1x86_23418 hivelist
2.查看注册表的键
volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 printkey
3.一步步查找
volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 -K "ControlSet001" printkey
volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 -K "ControlSet001\Control" printkey
volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 -K "ControlSet001\Control\ComputerName" printkey
volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 -K "ControlSet001\Control\ComputerName\ComputerName" printkey
在这里说一下,不要嫌麻烦,熟练之后可以一步到位,开始还是慢慢来。
8. 请提交内存镜像的 IP 地址
volatility -f win7.vmem --profile=Win7SP1x86_23418 netscan
这里就是看出现的频率,频率搞得基本就是内存镜像ip
9. 请提交内存镜像中恶意进程的 PID
volatility -f win7.vmem --profile=Win7SP1x86_23418 netscan
根据经验发现唯一已连接的,找唯一一个已建立的 ESTABLISHED
当然,我们以防万一还在查看一下进程
volatility -f win7.vmem --profile=Win7SP1x86_23418 pslist
可以看到有两个pid,所以3112和2468都是可以的。