强网杯2021 CipherMan (内存取证分析)

最新推荐文章于 2023-10-06 23:34:23 发布
最新推荐文章于 2023-10-06 23:34:23 发布
阅读量798 收藏 2
点赞数 1
分类专栏: ctf 杂项
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556441/article/details/117996411
版权

在这里插入图片描述

一个磁盘镜像,一个内存镜像

在这里插入图片描述

攻击者恶意访问用户的PC和加密的特定卷。如何解密卷?

使用工具volatility。首先查看镜像的系统信息,得到版本

python vol.py -f memory imageinfo

在这里插入图片描述
下载压缩包,打开后得到memory和Secret两个文件,用volatility扫描memory文件可以看到一个BitLocker密钥文件
在这里插入图片描述
将这个文件导出python vol.py -f memory --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007e02af80 -D ./

在这里插入图片描述

在这里插入图片描述
翻译一下

在这里插入图片描述使用DisGenius打开Secret文件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
Wow, you have a great ability. How did you solve this? Are you a hacker? Please give me a lesson later.

半岛铁盒@
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
易于扩展:通过插件来扩展 Volatility 的分析能安装分为三步:下载安装必要的 python 依赖件安装本体你可以在 Release 中找到对应你系统(M
2021陇剑杯线上——机密内存取证
m0_46296905的博客
06-29 2036
给了我们三个文件,有一个vmem文件,vmem即虚拟机的内存文件,首先尝试直接用volatility分析使用volatility进行直接分析发现无法识别profile另外两个文件的文件类型不明,需要我们自行判断,但可以肯定的是其它类型的虚拟机文件查阅了相关资料了解了一下虚拟机文件类型及其作用下面是vmware官方文档中给出的虚拟机文件类型说明再观察一下两个文件的内容,有个很明显的特征就是这个文件一半是可打印字符,一半是乱码,注意到乱码区域开头部分有个显眼的标识码——bin01就是一个二进制文件我们将一个虚拟
强网杯2021 BlueTeaming (内存取证)
半岛铁盒的博客
06-17 505
翻译:Powershell脚本由恶意程序执行。包含power shellscript内容的注册表项是什么? 题目要求找到powershell执行的脚本储存的注册表地址 使用到工具 volatility、Windows Registry Recovery 解题过程 使用工具volatility。 volatility工具的安装文章我也写了,不了解的可以看看 首先查看镜像的系统信息,得到版本是Win7SP1x64 volatility_2.6_win64_standalone.exe -f .\me.
强网杯2021 [强网先锋]orw
半岛铁盒的博客
06-29 775
orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 因为不是FULL RELRO所以就考虑改got表为shellcode地址就行了 漏洞点就在于以上两点 令index下标为负数时可以覆盖到其他函数的got表地址 这里选择覆盖掉exit的got表中的地址,因为沙盒的存在,所以需要构造orw的shellcode并覆盖exit的got地址为shellcode 覆盖堆块的申请位置选择在这里 计算一下偏移量 起始点 0x
十三届全国大学生信息大赛+强网杯+DASCTF八月V&N出题赛-刷题笔记
pone2233的博客
08-27 2356
文章目录菜鸟的自白:第十三届全国大学生信息安全竞赛the_best_Ctf_game电脑被黑第四届“强网杯”全国网络安全挑战赛主动uploadDASCTF 八月浪漫七夕战双重图格eeeeeeeasyusb参考文献 菜鸟的自白: 刚开始我还不知道什么是CTF到了大学,有学长带起,慢慢的步入这个信安大世界,我从基础小白,到现在入门小菜鸟,我觉得学习CTF,可以锻炼自己写脚本,看bug,学渗透,不断的充实自己,这次这3个比赛,真的让我发现,自己还是很菜鸟,需要继续锻炼,然后各位加油!下载文件猛如虎,一看战绩0-5
强网杯2021 misc 复现
GrapeSour的博客
07-03 1041
强网杯BlueTeaming、ISO1995、CipherMan、ExtremelySlow、EzTime的复现 (纯萌新学步) 可以参考mumuzi大佬的wp https://blog.csdn.net/qq_42880719/article/details/117968361 BlueTeaming 审题 Powershell scripts were executed by malicious programs. What is the registry key that contained th
第五届强网杯全国网络安全挑战赛 题目复现(有题目附件,详解)
路baby的博客
07-26 5693
第五届强网杯全国网络安全挑战赛 题目复现(有题目附件,详解) 题目名称:签到 问卷题 BlueTeaming CipherMan ISO1995 EzTime threebody 加油各位( •̀ ω •́ )y期待与君再相逢
有关Eclipse启动时的参数配置
cipherman
06-15 216
假设你的Eclipse的安装目录为E:/eclipse,那么除了正常的双击该目录下的Eclipse图标启动Eclipse(我们成为默认启动方式)之外。你还可以在命令行下边启动eclipse.exe,同时假以若干参数,即可做到一些有用的事情来。如下所示: 1、更改工作区(Workspace) 当你安装完Eclipse后,以默认方式启动时,它会弹出一个对话框,让你选择工作区的位置。注意:Eclipse...
常用加解密工具类(MD5、SHA、DES、AES、RSA)
逸轩
03-17 1074
MD5 单向加密:     /**      * 返回MD5单向加密后的十六进制字符串      * @param data      * @return      * @throws Exception      */     public String getEncryptForHex(byte[] data) throws Exception     {         ...
TDD实践
cipherman
03-23 224
关于除法功能的TODO列表 1、 基本功能 2、 除数不能为零 3、 格式化,保留小数点后两位 代码演进过程1:基本功能(列表第一项) [code="java"] /**测试代码:DivisionTest.java*/ public class DivisionTest extends TestCase { //测试基本功能 public void test...
WireShark网络取证分析2021.pptx
10-25
wireshark网络取证分析2021
2021年中职网络安全国赛内存取证环境
06-21
2021年全国职业院校技能大赛中职组”网络安全“赛项比赛任务环境(内存取证
内存取证 volatility
07-12
内存取证 volatility
网络安全内存取证分析源文件
04-27
网络安全竞赛内存取证分析文件
CTF之CTF(夺旗赛)介绍
WenZhongxiang
10-06 4010
CTF攻防模式(Attack-Defense)是CTF比赛的一种模式,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。需要具备安全编程的能力,能够编写安全的代码等等。CTF比赛的知识范围大致分为:Web安全、PWN(二进制安全)、逆向工程、Misc(杂项)、Crypto(密码学安全)、网络安全。国外:ctftime.org 是对一个在国际上比较重要的赛事的做一些记录,而且会还会给出赛事的一些权重,以及对这种CTF 知名战队的一些排名。
[2021首届“陇剑杯”网络安全大赛 决赛]内存取证writeup
ShenZ的博客
11-24 4903
内存取证 附件:mem_sec.vmem 1.一日运维人员针对被入侵主机进行了一次内存分析,请根据内存镜像进行分析并回答下述问题。请根据u盘里的mem_sec.zip文件进行分析取证人员首先对主机信息进行核实,该内存主机的产品密钥是__K3KHX-TCQKF-WGFXC-7T3BJ-9TPJC__。(答案格式字符全部大写) 2.经过入侵分析发现该主机的使用人员曾经访问过匿名邮箱的网址是__________。(答案包含http://或者https://,答案最后没有/) 1https://mail.td?
强网杯2021 qwb misc WP 5题
mumuzi的博客
06-16 2679
BlueTeaming、ISO1995、CipherMan、ExtremelySlow、EzTime 本来是说昨天发的,忘了…… 然后取证题,比较偏向爆破出的flag;如果是想知道原理等可以去看看空白师傅的WP:https://mp.weixin.qq.com/s/ItaIgLxcXCjvAhyyP3On9Q BlueTeaming 下载解压,得到一个无后缀,winhex查看是7z文件头,添加.7z,解压 得到一个5个G的memory.dmp文件 是一个内存镜像,常见的内存镜像文件有raw、vmem、dmp
ctf赛事了解
belife9999的博客
05-16 3319
国内赛事: XCTF赛事:国内最权威最高技术水平与最大影响力的ctf赛事平台 强网杯:最权威的国家级安全比赛,中央网信办网络安全协调局指导 红帽杯:广东省公安厅、广东省计算机网络安全协会举办 AliCTF:阿里安全技术竞赛,有阿里巴巴公司组织 TCTF:腾讯信息安全争霸赛,由腾讯安全联合实验室主办 BCTF:百度全国网络安全技术对抗赛,由百度安全主办 WCTF:世界黑客大师赛,油360Vulan团队组织 HCTF:由杭州电子科技大学信息安全协会主办的CTF ISCC:全国大学生信息安全与对抗技术竞赛,由北理
强网杯2021——wp
m0_46296905的博客
11-30 4019
文章目录一、MISC(一)ISO1995(二)BlueTeaming(三)EzTime(四)Cipherman(五)threebody 一、MISC (一)ISO1995 题目描述:We follow ISO1995. ISO1995 has many problems though. One known problem is a time. 压缩包解压密码:fantasicqwb2021 光看文件头辨别不出什么文件,file命令看一下发现是Linux Debian的磁盘文件 binwalk提取出一个I
linux内存取证例题
最新发布
01-16
Linux内存取证是通过分析目标系统的内存内容来收集证据和信息,以便解决计算机取证案件。以下是一个Linux内存取证的例题: 一台Linux服务器被怀疑遭到黑客攻击,管理员需要对其内存进行取证分析,以确定攻击者的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半岛铁盒@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值