【blueteam-ctf-challenges内存取证部分】RedLine Blue Team Challenge

已于 2023-12-01 09:55:57 修改
阅读量979 收藏 21
点赞数 16
分类专栏: blue team 文章标签: 服务器 linux 网络 安全 安全威胁分析
于 2023-12-01 09:44:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64836216/article/details/134727069
版权

这是一道内存取证的题目,在blueteam上的内存取证,大多数都是找恶意进程,或者木马,因为内存储存的都是易失性数据,所以在取证过程中及时固定这些数据是十分重要的。
这道题主要是熟悉一些常用的指令

想学习vol的可以看我下面这篇文章:
vol的常用操作

使用的工具主要是vol2和vol3,以及linux自带的strings
blueteam RedLine Blue Team Challenge
在这里插入图片描述

Q1

What is the name of the suspicious process?

oneetx.exe

也可以用psscan看一下有没有可疑的程序

一般来说psscan要比pslist好用一些,能够看到一些隐藏的进程
用malfind可以查看有注入代码的可疑程序
在这里插入图片描述![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/1dacaba7e7da4f25b3a2a02e417d8728.png
在这里插入图片描述

Q2

What is the child process name of the suspicious process?

rundll32.exe

用pstree可以查看子进程,pstree用来查看进程树
在这里插入图片描述也可以筛选一下
在这里插入图片描述在这里插入图片描述

Q3

What is the memory protection applied to the suspicious process memory region?

PAGE_EXECUTE_READWRITE

和前面一样用malfind来查看memory region

在这里插入图片描述
在这里插入图片描述

Q4

What is the name of the process responsible for the VPN connection?

outline.exe

先用netscan看一下有没有端口转发流量的地方,发现tun2socks.exe,是一个代理的程序,然后找一找这个是哪个程序调用的
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述

Q5

What is the attacker’s IP address?

77.91.124.20

用netscan找到上传这个恶意文件的外部ip

在这里插入图片描述
在这里插入图片描述

Q6

Based on the previous artifacts. What is the name of the malware family?

RedLine Stealer

在这里插入图片描述
百度一下,看看相关的病毒
在这里插入图片描述
搜一下上面找到的ip,可以找到malware的内容
在这里插入图片描述
在这里插入图片描述

Q7

What is the full URL of the PHP file that the attacker visited?

http://77.91.124.20/store/games/index.php

看浏览器记录可以用插件,也可以直接strings搜php有什么
在这里插入图片描述在这里插入图片描述

Q8

What is the full path of the malicious executable?

C:\Users\Tammam\AppData\Local\Temp\c3912af058\oneetx.exe

前面可疑看到可疑程序就是oneetx.exe,直接字符串搜
在这里插入图片描述在这里插入图片描述

Q1anhuang2
关注
  • 16
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(1)
碧海朝天素
04-08 1099
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
OtterCTF—内存取证wp
m0_66638011的博客
05-09 3992
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
redline内存分析工具
12-13
Fireeye安全公司发布的一款针对内存分析的工具,可对内存数据进行整理和分析
CTF-Challenges
06-29
CTF-挑战 我编写或解决的 CTF 挑战。 [!] 对于 7amamabook web 挑战,不要忘记编辑 engine.php 并添加正确的凭据,同时导入数据库 .sql
ctf-challenges
05-12
ctf-challenges 该仓库主要将收集到题目按照一定的分类进行存储,方便练习。对于每一个收集到的题目,请务必有以下基本内容 源文件 readme.md(writeup与相关必要信息) 其它必要文件
[CTF challenge] DC-1
OUTOFTEN的博客
01-29 701
点击下载靶机 环境:vm虚拟机、kali 2019.4、NAT网络模式。 kali开机,dc-1开机。 step1.打开终端,输入命令“ifconfig”查看当前网段(要将靶机与kali设置在同一网段下)。 step2.打开nmap,扫描自己网段下的主机,发现靶机。(在终端中输入nmap或者加帮助选项nmap -h 即可查看帮助手册)可以看到靶机开放了22号端口提供ssh服务以及80端口h...
CTF-Game-Challenges:精选各种CTF的游戏挑战赛清单
05-09
CTF游戏挑战 我最近一直在学习有关游戏黑客的知识,而我可以合法找到的最好的练习方法是玩 。 但是困难的部分是从以前的CTF中找出游戏中的挑战。 此列表包括我在玩ctfs和阅读文章时遇到的游戏挑战。 由于一些游戏服务器都处于离线状态,因此仅供参考,也没有明确的方法来设置它,或者开发人员没有开源它,因此我们现在不能玩它。 内容 电脑游戏 DragonSector CTF 2018 解决方案视频 Nullcon HackIM 2020年 Pwn冒险系列by Vector35 PwnAdventure资料库(在浏览器中) PwnAdventure 2 PwnAdventure 3 写作https://thekidofarcrania.gitlab.io/2018/11/18/csaw-finals-18/ https://www.digitaloperatives.com/201
awesome-cybersecurity-blueteam-cn:网络安全 · 攻防对抗 · 蓝队清单,中文版
04-14
Awesome Cybersecurity Blue Team - CN 攻防对抗 · 蓝队清单,中文版 本项目基于,经过蹩脚的翻译和一些补充,旨在帮助以中文为母语的安全研究者更好地了解蓝队工作,以及便利地找寻蓝队工具。 非常感谢原作者的...
blueteam:我为CrikeyCon 2021 Red vs Blue CTF构建的Blueteam工具
05-05
此仓库包含我为2021 CrikeyCon Red vs Blue CTF编写的软件。 这两个项目是nginx工具包和一个用于计分的信标项目。 Nginx工具包 因为我不确定是否会有可靠或快速的Internet,所以我想要一种将应用程序加载到服务器上...
purple-team-exercise-framework:紫色团队运动框架
05-05
安全运营中心(SOC),寻线团队,数字取证和事件响应(DFIR)和/或托管安全服务提供(MSSP) 虽然红色团队参与被视为“零知识”参与,但蓝色团队在参与之前或期间并未意识到对手的模仿,而紫色团队演习则是全面的...
blue-team:蓝色团队脚本
02-06
blue-team:蓝色团队脚本
ctf-challenges:我的CTF挑战。 没有人玩
05-26
没有人扮演CTF的挑战 严峻的挑战 在查看挑战说明 将您的问题或意见发送到或 强调 :贝壳 :注射 :客户端攻击 CTF / PHP的七个罪过:可怕的难题 :不必要的战俘或暴力破解 :窃 :自我娱乐与利基主题仅由作者研究 :修补问题以使解决方案起作用 :添加不必要的部分来分散主要思想 :作者与玩家之间的不对称努力 :添加不必要的约束以限制可能的答案
CTF取证类题目指南
01-09
在CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是密码类赛题)。 取证作为CTF中的一大类题目,不完全包括安全产业中的实际工作,常见的与之相关的工作是事故相应。但即使在事故响应工作中,计算机取证也经常是执法部门获取证据数据和证物的工作,而非对防御攻击者或恢复系统感兴趣的商业事故相应企业。
repo-supervisor:扫描您的代码以检查安全性配置错误,搜索密码和机密
02-05
回购主管 ... 安装就像在Github存储库中添加新的Webhook一样容易。 它以两种单独的模式工作。 第一个允许我们扫描Github请求,第二个从命令行扫描本地目录。 用法 先决条件 要开始使用该工具,请从Github版本页面...
xtu-ctf Challenges-Reverse 1、2
GSflyy的博客
01-27 737
对网络安全一直有兴趣,但技术上始终无法入门,想着寒假或许能让自己正式步入网安的学习之路,学长说教程终究次要,刷题才是根本,现给大家送上两份reverse的简单题解,本人小白水平,目前也仍处于摸索阶段,望各位大佬轻喷 1.FIRST 题目地址:http://172.22.114.206:8000/challenges#First 题目有附件,下载好后文件名为First.exe 放进PEID中检查下是否带壳,检查无壳,准备直接放入ida,开始逆向 打开32位的ida,选择默认的载入方式即可 好,正式来到程序
内存取证之ctf
shshshsh_的博客
11-11 208
前言,前两天我们学习了安装和基本命令,所以今天我们就找几个ctf的题目来练练手。
应急响应-内存分析
最新发布
qq_50765147的博客
01-28 450
在应急响应过程中,除了上述几个通用的排查项,有时也需要对应响应服务器进行内存的提权,从而分析其中的隐藏进程。
样本分析 | 窃密红线:浅析RedLine Stealer的危险威胁
WangsuSecurity的博客
07-27 235
RedLine的野生样本已超过10万个,成为2022年最活跃的窃密木马家族。
干货 | 最全的CTF练习网站和在线攻防网站总结
Ms08067安全实验室
01-12 2777
最全的CTF和在线攻防网站总结这是一份红队/蓝队CTF在线平台列表来测试你学习的技能1800多个攻防实验室1800 多个实验室!涵盖 Windows 安全、云安全、密码破解、逆向工程等等。我强烈推荐这个平台!地址:https://attackdefense.com/members加密黑客一个有趣、免费的现代密码学学习平台地址:https://cryptohack.org/CMD挑战CMD挑战地址:...
CTF取证总结(内存取证,磁盘取证)以及例题复现
热门推荐
Love&Share
09-20 2万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Q1anhuang2

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值