内存取证解题过程--Volatility常用命令

最新推荐文章于 2024-07-23 15:57:32 发布
最新推荐文章于 2024-07-23 15:57:32 发布
阅读量5.2k 收藏 37
点赞数 9
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43891422/article/details/107852416
版权

内存取证

所需软件:

Linux平台下的Volatility,Windows平台下的010 Editor和Stegsolve

安装方法:

Volatility在Ubuntu下安装命令:sudo apt install volatility

Stegsolve在Github地址:https://github.com/Giotino/stegsolve

题目:

https://share.weiyun.com/Y3B9kf0W

解题过程:

0x01 查看内存镜像信息:
volatility -f zy.raw imageinfo

https://s1.ax1x.com/2020/08/06/aRKRBQ.png

可知其系统版本为WinXPSP2x86

0x02 获取进程信息:
volatility -f zy.raw --profile=WinXPSP2x86  pslist

在这里插入图片描述
发现可疑记得程序smss.exe,故尝试提取进程。

0x03 提取进程:
volatility -f zy.raw --profile=WinXPSP2x86  memdump -p 536 -D ./

命令用于提取smss.exe进程的dump,

  • --profile的参数为系统版本

  • -p的参数为进程ID

  • -D的参数为保存文件的路径

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直020(img-8KnCBq2u-1596730137800)(https://s1.ax1x.com/2020/08/06/aRQfWq.png)]

0x04 查看dump:
strings -e l 536.dmp | grep flag

命令使用strings读取dump二进制文件,并通过管道符传给grep提取二进制文件中包含flag关键词的部分

  • -e的参数为编码方式,其中l为16-bit编码
    在这里插入图片描述
    发现可疑记得文件flag.jpgflag.png
0x05 获取浏览器浏览历史:
volatility -f zy.raw --profile=WinXPSP2x86 iehistory


发现关键词hint.txt,尝试提取文件。

0x06 扫描并提取文件
volatility -f zy.raw --profile=WinXPSP2x86  filescan | grep hint

命令使用filescan扫描内存中所有文件,通过管道符连接grep只显示包含 hint 的结果。

发现文件地址为:0x0000000002456028

volatility -f zy.raw --profile=WinXPSP2x86 dumpfiles -Q 0x2456028 --dump-dir=./

使用dumpfiles提取文件

  • -Q的参数为 内存地址
  • --dump-dir的参数为导出文件的目录

    使用010Editor打开文件(或者notepad++也可查看相应信息):

    提示文件名为fl4g,故技重施。
volatility -f zy.raw --profile=WinXPSP2x86  filescan | grep fl4g
volatility -f zy.raw --profile=WinXPSP2x86 dumpfiles -Q 0x2052028 --dump-dir=./

aRJXfH.png
文件重命名为zipunzip解压,得到两张图片。
aRYD4e.png
猜测为图片写隐,flag信息隐藏在图片中。

0x07 图片分析:

使用Stegsolve进行图片分析,程序运行需要Java环境。

先后打开其中一个文件,然后点击Analyse->Image Combiner打开另一张图片,通过点击>切换模式,当a点击到sub模式后可以得到二维码。

在这里插入图片描述

如果无法查看到有效信息,尝试交换两个文件打开比较。

二维码解码后为一个百度翻译的网址,点击发音按钮即可得到flag。

在这里插入图片描述

Volatility常用命令:

  • 获取内存镜像的摘要信息
volatility -f 镜像名 imageinfo
  • 获取运行的进程
volatility -f 镜像名 --profile=系统版本 pslist
  • 获取缓存在内存中的注册表
volatility -f 镜像名 --profile=系统版本 hivelist
  • 扫描文件 结合 grep 进行筛选
volatility -f 镜像名 --profile=系统版本 filescan
volatility -f 镜像名 --profile=系统版本 filescan | grep -E 'jpg|png|jpeg|bmp|gif'
  • 提取内存中缓存的文件
volatility -f 镜像名 --profile=系统版本 dumpfiles -Q [文件地址] --dump-dir=./
  • 获取cmd输入的内容
volatility -f 镜像名 --profile=系统版本 cmdline
  • 查看截图
volatility -f 镜像名 --profile=系统版本 screenshot --dump-dir=./
  • 查看系统用户名
volatility -f 镜像名 --profile=系统版本 printkey -K "SAM\Domains\Account\Users\Names"
  • 查看网络连接情况
volatility -f 镜像名 --profile=系统版本 netscan
Johnzqh
关注
信息安全管理与评估赛题解析-内存取证(含环境)
Brucye
02-25 325
把flag.png文件修改一下文件名和后缀查看,发现是一半flag,另一个flag.txt文件应该是另一半,考虑用十六进制形式将两个文件进行拼接。注意:不要使用记事本,会卡住,建议使用notepad++Step1:找到对应DIP,下载DIP对应内容进行分析。Step3:下载两个flag文件分析。
volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)
mumuzi的博客
05-26 1万+
最近的CTF比赛有关内存取证、机器学习、流量分析的题越来越多,自己又没怎么下来学过,基本都混在简单基础的图片隐写上面,所以开坑整理内存取证的知识点,并选取两道例题来实操。之后也准备对机器学习开坑。 常见的内存镜像文件有raw、vmem、dmp、img等,这里就需要用到内存取证工具volatility(例题讲解使用版本为2.6),当然如果看见有个叫DumpIt的进程,不用去理会,他就是生成内存文件的程序。 指令讲解imageinfopslistpstreecmdscanconsolescmdlinefiles
内存取证(电子取证
最新发布
qq_69100706的博客
07-23 447
内存取证,也被称为RAM取证或易失性内存取证,是指在计算机系统运行时,对物理内存(RAM)进行分析的过程。与硬盘上的数据不同,内存中的数据是易失性的,意味着一旦电源中断,这些数据就会丢失。因此,内存取证需要在系统仍然运行时迅速而准确地进行。
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
volatility常用的命令
菜菜的博客
09-30 2278
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
内存取证工具——volatility 常用命令
mid2dog
09-01 1万+
我是目录前言正文猜测镜像系统调出shell窗口列举进程将内存中的某个进程保存出来列举缓存在内存的注册表列出SAM表中的用户获取最后登录系统的用户获取内存中正运行的程序列举时间线查看开启的windows服务从内存中获取密码哈希扫描电脑中的文件导出列举的文件 前言 红帽杯里也做到过内存取证取证的课又重温了一遍,于是就准备把常用命令记下来。 正文 猜测镜像系统 volatility -f Memory.vmem imageinfo 在支持的系统里可以看到 知道系统后,之后的命令就都加上这一段即可 –pro
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3400
内存取证神器Volatility常用指令大全
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
MISC之内存取证_Kali环境下使用volatility
dbsod007520的博客
08-18 5528
前言 1、本文所需工具及题目下载路径: 2、所作操作均使用root用户执行 一、安装volatility及相关依赖文件 volatility 是一款内存取证和分析工具,可以对dumpit.exe等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux。 1、将volatility-master.zip文件解压到Kali某目录下,为了避免linux系统权限相关困扰,本文加压路径为/home/root/volatility-master 2、将pac.zip文件中的内
ctf内存取证----easy_dump
MOLLMY的专栏
09-15 2995
前一段时间又做了去年护网杯的内存取证题 第一次不参考任何wp提示,自己做,没想到做得挺顺利 Easy_dump writeup 解题步骤 Step 1 Volatility imageinfo 得知系统为Win7SP1x64 Setp 2 查看进程列表 查看命令行历史 没有什么发现 Step 3 执行netscan、iehisto...
内存取证——volatility
苟有恒,必有三更眠,五更起。
11-04 1万+
内存取证——volatility0x00最近没有做题,之前放掉的一个杂项题,现在重新看看。0x01通过hint,了解到内存取证这个神奇的东西,那么不急着做题,先把这个研究研究。0x02内存取证,是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。(个人理解,欢迎纠正)这里主要使用工具——volatility.0x03工具介绍:volatilityvolatility是一款开源的...
【CTF大赛】陇剑杯-机密内存-解题过程分析
HBohan的博客
09-27 3301
前言 机密内存这道题是陇剑杯中的压轴题,题目中涉及到使用VMware加密功能进行加密的内存镜像,难度极大。我在这里详细的记录一下解题思路和过程,如有错误或疏漏的地方还请大佬们在评论区指出。 题目初探 拿到题目,为三个文件,其中mem_secret-963a4663.vmem为常见内存镜像文件,另外两个文件格式未知。 使用volatility进行分析无法识别profile。 接着分析分析Encryption.bin01和Encryption.bin02文件,初步分析Encryption.bin01文件,无.
volatility 基本用法
xuqi7
10-22 1万+
volatility---基本用法 Keyword: forensic 取证 官网: https://www.volatilityfoundation.org/ github地址: https://github.com/volatilityfoundation/volatility wiki: https://github.com/volatilityfoundation/volatility/wiki
内存取证volatility工具命令详解
Y525698136的博客
01-04 2631
内存取证volatility工具命令详解
内存取证——volatility命令
Lemon's blog
11-05 9601
文章目录前言常用命令0x01:查看镜像系统0x02:列举进程0x03:列举注册表0x04:获取浏览器浏览历史0x05:扫描文件0x06:列举用户及密码0x07:获取屏幕截图0x08:其他命令总结 前言 经常遇到内存取证的题目,就把volatility一些常见的命令给总结下来,方便之后自己的做题。 常用命令 0x01:查看镜像系统 volatility -f 1.raw imageinfo 支持的系统中有Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, W
linux取证——基础取证命令集合
记录并分享学习安全的知识点..
10-20 1086
linux取证——基础取证命令集合
volatility内存取证----命令演示
热门推荐
Battery的博客
05-11 13万+
介绍:取证题在ctf中占比越来越大,作为新入ctf的我来说,打的几场ctf几乎每次都有取证题,之前的比赛也都是无可奈何,终于沉下心认真复现了一道题目。 volatility的安装 以前的老版本kali有自带的volatility,所以能够直接使用,但是现在的版本基本上都需要自己下载安装了,主要是依赖于python环境安装,需要一些库,建议使用python3 下载链接:https://www.volatilityfoundation.org/releases 下载好之后直接到根目录直接运行vol.py
Linux基础】基础取证命令集合
南京信息工程大学数字取证中心的博客
12-15 1088
Linux基础】基础取证命令集合
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Johnzqh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值