你能发现什么蛛丝马迹吗

最新推荐文章于 2023-04-20 15:45:42 发布
最新推荐文章于 2023-04-20 15:45:42 发布
阅读量249 收藏 2
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangjin7356/article/details/123396384
版权

题目链接

https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97

解题过程

在这里插入图片描述打开题目是个镜像文件:memory.img

在这里插入图片描述考虑使用volatility取证工具。将memory.img复制到kali中,用volatility分析:

volatility imageinfo -f memory.img

是Win2003镜像

在这里插入图片描述分析进程信息:

volatility  -f memory.img --profile=Win2003SP2x86 pslist

在这里插入图片描述
一般,常见windows工具进程名:

  1. TrueCrypt.exe 磁盘加密工具
  2. notepad.exe 自带记事本
  3. mspaint.exe 自带画图工具
  4. iexplore.exe IE浏览器
  5. DumpIt.exe 内存镜像提取工具
  6. explorer.exe 资源管理器
    以上这些进程需要注意。
    导出进程1992(explorer.exe)和3660(DumpIt.exe):
volatility  -f memory.img --profile=Win2003SP2x86 memdump -p 3660 --dump-dir=./  
volatility  -f memory.img --profile=Win2003SP2x86 memdump -p 1992 --dump-dir=./

在这里插入图片描述在这里插入图片描述
用strings命令分析dmp中是否包含flag信息:

strings -e l 3660.dmp | grep flag
strings -e l 1992.dmp | grep flag

在这里插入图片描述
显示dmp包里有张flag.png的图片。用foremost工具分离dmp包

在这里插入图片描述
在1992.dmp( DumpIt.exe)里发现二维码和密钥图片,二3660.dmp(DumpIt.exe)只有二维码图片。

在这里插入图片描述在这里插入图片描述
用微微二维码工具解码:

在这里插入图片描述得到解码结果:

jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=

在线工具AES解码:

在这里插入图片描述得到flag:

flag{F0uNd_s0m3th1ng_1n_M3mory}

小结

1.知识点:数字取证。volatility工具的使用。

wangjin7356
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF [HDCTF2019]你能发现什么蛛丝马迹
qq_51447967的博客
04-28 572
题目分析 下载到一个.img后缀的文件,其实就是一个软盘的镜像文件,和ISO的镜像差不多,一看这种类型的就是取证了。这里应该是内存取证,使用Volatility工具镜像内存的分析。 首先查看镜像的系统版本 vol.py -f ./memory.img imageinfo 得到 主要看Profile属性,这里显示了三个可能的操作系统版本,都可以试试。 在指定了版本之后查看进程 vol.py -f memory.img --profile=Win2003SP1x86 pslist 得
freedns.ws 批量解析是否有毒没经过测试
04-04
4. **了解许可**:阅读服务的使用条款和隐私政策,确保你知道如何以及何时可以使用工具。 5. **行为谨慎**:不要提供敏感信息,除非完全理解工具的工作方式和目的。 最后,对于任何网络工具的使用,保持警惕和良好...
BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹
末初的CSDN博客
11-20 2434
https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97 memory.img Volatility分析 查看文件的Profile volatility -f memory.img imageinfo 猜测为:Win2003SP1x86 查看进程 volatility -f mem
BuuCTF难题详解| Misc | [HDCTF2019]你能发现什么蛛丝马迹
pone2233的博客
12-15 1722
题目介绍 这道题目,是一道非常典型的内存取证的题目,相信会了这道题目,大家会对内存取证更加喜欢。 [HDCTF2019]你能发现什么蛛丝马迹吗 下载文件一看就是一个内存取证的题目,我们先看看版本 :volatility.exe -f memory.img imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG sear
CTFHub_历年真题_MISC——“图片修复”、“磁盘恢复”、“蛛丝马迹
Ho1aAs‘s Blog
07-24 5721
文章目录使用工具解题过程Ⅰ、图片修复Ⅱ、磁盘恢复Ⅲ、蛛丝马迹完 –>CTFHub传送门<– 使用工具 winhex Photoshop Wireshark 解题过程 Ⅰ、图片修复 附件是损坏的GIF文件 首先看看GIF的文件头,果然,文件头缺失 –>文件头大全传送门<– 使用winhex修复文件头47494638 在第一个字符“47”之后添加3组0字节,右键——编辑——添加零字节 修改后GIF正常显示 FLAG存在于其中两张动图上,使用PS分离 Ⅱ、磁盘恢复 附件是W
buu的几道misc题
qq_44640313的博客
04-20 228
VeraCrypt挂载和内存分析和AES解密,TLS协议
蛛丝马迹.doc
09-20
由于这些痕迹如同蜘蛛丝一样细小且难以察觉,因此人们将两者结合,创造了"蛛丝马迹"这个成语,用以比喻那些不易发现但又与事件核心相关的线索。 "蛛丝马迹"的由来,反映了古人对自然界的观察力和对日常现象的智慧...
寻找财务报告中的蛛丝马迹.doc
09-12
在财务报告中寻找蛛丝马迹是一项至关重要的工作,尤其对于投资者和市场监管机构而言。财务报告的准确性直接影响到公司的信誉、股价以及整个资本市场的稳定性。本文主要探讨了财务报告作弊的普遍性和危害,并分析了...
多层次安全机制保护你的VoIP网络安全
03-04
要建立一个安全的VoIP网络,首要的步骤就是将其从你的数据网络中...你需要一个特别设计的防火墙,它得能识别和分析VoIP协议,能对VoIP的数据包进行深度检查,并能分析VoIP的有效载荷以便发现任何与攻击有关的蛛丝马迹
一位退役操盘手的自述:庄家就怕你知道这一漏洞,惊醒千万散户!.doc
10-08
细心的投资者通过观察,都能发现庄家的踪迹。 那么我们该如何跟庄操作呢?每一支牛股的诞生主要分为四步:主力吸筹、主力洗盘、主力拉升、主力出货!每一位投资者在操作股票中都想跟庄操作,那怎样发现庄家出手的...
CTF-Misc】积累思路篇
LeeOrange_45的博客
03-30 455
misc积累思路吧
CTFHUB历年真题练习
qq_51558360的博客
10-11 1341
WebsiteManger 考点 布尔盲注、SSRF 尝试了一般登录方法没有反应。查看源码发现sql注入的利用点在图片上 盲注脚本 import string from requests import * allstr = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\]^_`{|}~' myurl = 'http://challenge-1993b
内存取证-Volatility安装使用以及一些CTF比赛题目
热门推荐
Bnessy
04-02 2万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
BUUCTF MISC刷题笔记(四)
volcano的博客
05-08 1万+
BUUOJMisc[RCTF2019]disk[MRCTF2020]小O的考研复试[HDCTF2019]你能发现什么蛛丝马迹吗[BSidesSF2019]table-tennis[CFI-CTF 2018]webLogon capturekey不在这里很好的色彩呃?[INSHack2018]Self Congratulation[GUET-CTF2019]520的暗示greatescape[ACTF新生赛2020]frequency Misc [RCTF2019]disk 这个题本来是有提示的,buu这里没
强网杯2021 ctf线上赛ezmath wp(#超详细,带逆向新手走过一个又一个小坑)
漫小牛的博客
06-21 3530
文章目录引言第一步、分析文件类型1.可执行文件判断 引言 这是强网杯2021中的一道Reverse题,将附件进行下载,名称为ezmath,名称为chall,说明这道题跟数学有关,都说ctf比赛三大谎言:ez、eazy和baby,名称简单,实则并不简单。做出这道题,需要的数学知识远远大于逆向知识。 题目附件: 链接:https://pan.baidu.com/s/13TheaHB7XcbGnBp-M1N5Rg 提取码:k4pm 第一步、分析文件类型 1.可执行文件判断 使用Exeinfo PE查看文件的类型,
BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹
yzl_007的博客
11-14 1141
BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹吗 打开一个镜像文件 分析镜像,看一下文件的profile值,确定内存镜像的版本 volatility -f memory.img imageinfo 接下来搜索一下进程,看看出题人做了些什么操作 仔细看一眼时间,试试最后那个,时间最近的操作 因为是win2003,查看一下这个操作从cmd命令 volatility -f memory.img --profile=Win2003SP1x86 cmdscan dump下来,pid是
CTF-web Linux中几个关键的文件
iamsongyu的博客
11-27 4783
有些时候,我们遇到可以文件包含读取linux文件的题目,在flag不在根目录,不在标准目录,需要我们去找的时候,有些文件就显得比较有意义。通过读取系统的这些关键文件,我们可以找到蛛丝马迹,从而找到flag的藏身之地,当然,最关键的是,我们需要知道linux中有哪些比较关键的,有用的文件。 下图是linux的根目录,分为需要的根文件夹。           bin:全称binary,含义是...
CTF-web 简介
iamsongyu的博客
10-08 5498
web部分是CTF的重要组成部分之一,素有WEB大魔王之称,题目种类繁多,关键是如何发现漏洞的类型和怎样构造特殊的负载绕过过滤。 CTF分为三种模式 解题模式 攻防模式 混合模式 在线工具 https://www.ctftools.com/down/ http://tool.bugku.com/jiemi/ 在线代码执行(各种网页语言 C C++) https://tool.lu/coderunn...
CTF-web 第十三部分 命令注入
iamsongyu的博客
11-25 1万+
一 、基本原理 命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting, XSS) SQL 注入攻击(SQL ...
帮我修改:某一天,神秘人劫走男主。女主通过男主生活中的细节慢慢的去调查下去,(男主身上卡通图案的纹身,其实是一副地图)。调查到男主家族是个隐士神秘家族,家族成员不得泄露家族情况。该家族占据整个小岛,你又遇到了你的男友,但是通过相处后的蛛丝马迹,这人是前任渣男。慢慢解密,原来男主有家族遗传病的人格分裂。
最新发布
06-10
某一天,男主被神秘人劫...这个家族占据整个小岛,女主也在这个小岛上遇到了她的男友,但是通过相处后的蛛丝马迹,她发现这个人其实是她的前任渣男。女主开始慢慢解密,发现男主有家族遗传病,导致他的人格出现了分裂。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wangjin7356

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值