[ctf Misc][RoarCTF2019]forensic +内存取证

最新推荐文章于 2024-05-12 23:00:23 发布
最新推荐文章于 2024-05-12 23:00:23 发布
阅读量2.2k 收藏 8
点赞数 5
分类专栏: ctf # 内存取证 文章标签: windows 内存取证 取证 ctf misc
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/120211354
版权

这题蛮鬼的,就,没有捷径,捷径导出文件一定是坏的

附件:mem.raw

[RoarCTF2019]forensic

1.volatility处理

λ volatility_2.6_win64_standalone.exe -f xxx7\Compressed\mem.raw imageinfo
Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (\Compressed\mem.raw)
                      PAE type : PAE
                           DTB : 0x185000L
                          KDBG : 0x81729be8L
          Number of Processors : 2
     Image Type (Service
最低0.47元/天 解锁文章
shu天
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
内存取证_V&N2020 公开赛Misc-内存取证 Writeup
weixin_39869959的博客
01-12 464
随随便便打个比赛,这道题是做到的最恶心的。卡了接近12h。废话少说,先来看题。内存取证,附件下载下来是个512M的内存Dump。直接上神器 Volatility,看看有啥进程。存在以下几个可疑的mspaint.exenotepad.exeTrueCrypt.exe 取证大师扫一下,看到个 share.txt,提示百度云链接,以及提取码 heem(或者你愿意也可以手动在strings里面找可疑的,笑...
[RoarCTF2019]forensic内存取证
4pri1
05-25 1685
volatility 基本思路:先看看操作系统,然后查一下进程和内存信息,把可能有问题的dump出来,然后借助linux本身的一些工具分析。 首先用 volatility -f ./mem.raw imageinfo 查看系统信息 这里重点关注 Suggest Profiles 和 data and time 然后看一下进程信息 volatility -f ./mem.raw pslist --profile=Win7SP1x86 这四个进程对应的是最可能存在问题的用户创建...
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
2401_84296945的博客
05-12 1023
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
BUUCTF [RoarCTF2019]forensic
../../../../../../../
10-12 1328
打开 下载到mem.raw 把mem.raw放入kali volatility查看镜像 volatility -f mem.raw imageinfo 建议用profile, 后面用Win7SP1x86 查看内存进程: volatility -f men.raw pslist --profile Win7SP1x86 发现有几个进程 了解发现: TrueCrypt.exe是一款磁盘加密工具,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。 notepad.exe windows自带记事本
Misc-内存取证
qq_42240719的博客
10-01 932
Volatility 2.6 Linux Standalone Executables (x64)入门级操作
CTF-misc内存取证心得笔记
Pompey_wp的博客
09-17 296
除此之外还需要 /boot 目录下的 System.map 文件,然后将这两个文件打包压缩,放在 volatility/plugins/overlays/linux 目录下即可,再执行 volatility --info 就可以看到新的 Linux profile 了。dump 出来的内存中往往会存在一些字符串,可以用 strings 命令提取出来,然后通过搜索来寻找一些特定的字符串,比如 flag、secret 啥的。volatility3 -f banners 可以检测当前 Linux 版本。
CTF内存取证入坑指南!稳!题目
03-28
Volatility是一款开源的内存取证框架,广泛应用于CTF(Capture The Flag)竞赛和实际的网络安全事件响应中。它支持多种操作系统,包括Windows、Linux、Mac OS等,提供了丰富的命令来提取和解析内存映像中的信息。...
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
ctf+tools+tools+nmap(windows)
最新发布
06-11
这个就是一个nmap得安装程序,在这上面备份一下,用来写博客时提供安装包
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
OtterCTF的Memory Forensics内存取证文件
12-09
4. **恶意软件检测**: 在CTF比赛中,内存取证常用于寻找隐藏的恶意活动。通过分析内存,参赛者可以发现未在磁盘上留下痕迹的临时文件、网络通信模式、异常进程行为等,这些都是恶意软件可能的迹象。 5. **数据恢复*...
DUMPIT.exe
05-28
内存镜像读取,内存镜像读取,内存镜像读取,内存镜像读取
CTFlearn 网站的Writeup (easy 1)
12-21
国内的大部分CTF练习平台都是收费的,搜来搜去找到了一个国外的提供免费练习的网站https://ctflearn.com/ ,于是尝试开始做题。下面是记录。 1、Taking LS 解压后的pdf有密码,密码在隐藏文件夹里面,打开pdf即可见:ABCTF{T3Rm1n4l_is_C00l} 2、Basic Injection 查看源码,发现有这句话 尝试前面几个用户名均为空,到Luke发现有返回。于是构建如下注入语句。 a' or '1'='1 发现返回 th4t_is_why_you_n33d_to_sanitiz3_inputs 即为flag。 3、Forensics 101 直接
DUMP提取器.zip
08-05
提取dump,工具小巧轻便、高效实用,非常好用;提取dump,工具小巧轻便、高效实用,非常好用
抓取dump工具
12-13
该工具用于windows客户端开发辅助工具,可协助开发工程师分析崩溃
MISC取证_ezEforensics
Lavignesong的专栏
01-05 408
这次是一道打开之后需要百度这是什么格式的题,不常见的raw文件。百度之后发现是未格式化的系统文件,结合题目,应该是一道比较简单的取证分析题。话不多说,先上工具。这次用到的工具是volatility,紧急下载安装kali后发现新版本的Kali没有volatility,还是得自己安装。
RITSEC CTF2021 Forensics1597题解记录
m0_49762339的博客
04-13 328
题目地址:http://git.ritsec.club:7000/1597.git/ 这是一道与git版本管理有关的题目 解题过程: 一、很明显第一步将远程仓库克隆到本地 git clone http://git.ritsec.club:7000/1597.git/ 其中一共有两个文件打开后发现flag.txt为空文件,README.md文件显示: # 1597 A git challenge series? Sounds fun. 没有用!!! 二、推测(看大佬WP)查看版本记录。 1.mkdir ki
CTFForensics 取证
algae
04-18 5949
这篇文章列出了CTFForensics(取证)类型题的技巧和窍门,展示了CTF中常用工具的使用场景和使用方法。文件格式(File Formats)十六进制文件头和对应ASCII码通过查看文件头前四到五个字节的十六进制数来识别文件类型。参考Hex file and Regex Cheat Sheet 和Gary Kessler File Signature Ta...
BUUCTF:[RoarCTF 2019]PHPShe
末初的CSDN博客
07-24 1689
BUUCTF:[RoarCTF 2019]PHPShe
CTF竞赛中的MISC杂项实战与技能解析
这篇文档是由诸葛建伟,清华大学网络研究院的学者,XCTF联赛的发起人和蓝莲花战队的联合创始人领队编写的,主要关注CTF竞赛中的MISCMiscellaneous)类别。MISCCTF竞赛中涵盖广泛,包括但不限于隐写术、数据恢复...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值