决赛不能联网…手上有只有vol2.6,这道题完全死了
[2021首届“陇剑杯”网络安全大赛 决赛]内存取证 writeup
附件:mem_sec.vmem
1.一日运维人员针对被入侵主机进行了一次内存分析,请根据内存镜像进行分析并回答下述问题。请根据u盘里的mem_sec.zip文件进行分析。取证人员首先对主机信息进行核实,该内存主机的产品密钥是__K3KHX-TCQKF-WGFXC-7T3BJ-9TPJC__。(答案格式字符全部大写)
2.经过入侵分析发现该主机的使用人员曾经访问过匿名邮箱的网址是__________。(答案包含http://或者https://,答案最后没有/)
1https://mail.td??? 2john@uuf.me
3.经过入侵分析该主机曾被植入远控后门,该远控后门被植入时的文件路径为________。(填写绝对路径)
C:\Users\Ado\Downloads\steam.exe C:\users\ado\downloads\steam.exe4.经过入侵分析该主机曾使用工具进行过痕迹清除,最后一次进行数据清除的时间是_______。(时区为UTC+8,填写格式为yyyy-mm-dd hh:mm:ss)
vmem是虚拟机的内存文件,因为该题是win10的虚拟机,只有vol3可以解析(https://blog.csdn.net/weixin_46081055/article/details/120524660)
产品密钥
产品密钥在注册表中可以看到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform
右侧的 BackupProductKeyDefault值
$ python3 vol.py -f mem_sec.vmem windows.registry.hivelist
Volatility 3 Framework 1.2.1
Progress: 100.00 PDB scanning finished
Offset FileFullPath File output
0x8084a980e000 Disabled
0x8084a9849000 \REGISTRY\MACHINE\SYSTEM Disabled
0x8084a9881000 \REGISTRY\MACHINE\HARDWARE Disabled
0x8084ac204000 \SystemRoot\System32\Config\SECURITY Disabled
0x8084ac232000 \SystemRoot\System32\Config\DEFAULT Disabled
0x8084ac230000 \SystemRoot\System32\Config\SAM Disabled
0x8084ac206000 \SystemRoot\System32\Config\SOFTWARE Disabled
0x8084ad13e000 \Device\HarddiskVolume1\EFI\Microsoft\Boot\BCD Disabled
0x8084ad392000 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT Disabled
0x8084ad522000 \SystemRoot\System32\Config\BBI Disabled
0x8084ad4e3000 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT Disabled
0x8084aea0c000 \??\C:\Windows\AppCompat\Programs\Amcache.hve Disabled
0x8084aea26000 \??\C:\Users\Ado\ntuser.dat Disabled
0x8084ae973000 \??\C:\Users\Ado\AppData\Local\Microsoft\Windows\UsrClass.dat Disabled
0x8084af0b1000 \REGISTRY\A\{FE82E83E-F53E-4F85-85C5-C721392AB949} Disabled
0x8084af152000 \??\C:\Users\Ado\AppData\Local\Packages\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\Settings\settings.dat Disabled
0x8084af1d2000 \??\C:\ProgramData\Microsoft\Windows\AppRepository\Packages\Microsoft.Windows.Cortana_1.13.0.18362_neutral_neutral_cw5n1h2txyewy\ActivationStore.dat Disabled
0x8084af1de000 \??\C:\Users\Ado\AppData\Local\Packages\Microsoft.Windows.Cortana_cw5n1h2txyewy\Settings\settings.dat Disabled
0x