这是一道内存取证的题目,主要是恶意程序分析、注册表取证和mft取证,这个题目整体相对较难
想学习vol的可以看我下面这篇文章:
vol的各种操作
blueteam:NintendoHunt Blue Team Challenge
Q1
What is the process ID of the currently running malicious process?
8560
一般情况下svchost.exe是services.exe的子进程,但是在这个题目里,svchost.exe的数量太多了很可疑。
用pstree的指令查看一下
Q2
What is the md5 hash hidden in the malicious process memory?
3a19697f29095bc289a96e4504679680
先把文件dump下来,然后转换成字符串
这里我用16,32和64各取了一份,都能看到这个字符串
看到md5给的格式是base64编码加密
Q3
What is the process name of the malicious process parent?
explorer.exe
前面可以看到父进程是explorer.exe
Q4
What is the MAC address of this machine’s default gateway?
00:50:56:fe:d8:07
常见的注册表取证分析项有:
1.用户账户及安全设置(SAM/SECURITY)
用户账号/SID;
登录时间、登录次数;
最后登录时间
2.系统及软件信息(SYSTEM/SOFTWARE)
系统信息(OS 版本、安装日期最后关机时间等):
时区信息(Time Zone);
硬件信息/服务列表;
网络配置信息/共享文件夹信息;
应用程序运行痕迹记录;
设备使用记录等
3.用户相关信息(NTUSER.DAT)
最近打开的文件记录(MRU,RecentDocs)
这个就要找系统的注册表了,属于是注册表取证的内容了,default gateway’s MAC address
注册表的mac地址的key在这个位置
It is in the Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged key.
接下来要先找注册表的位置,然后输出Subkeys,最后用Subkeys找到mac的内容:
Q5
What is the name of the file that is hidden in the alternative data stream?
yes.txt
重点在data stream,所以从mft中找,mft可以确定文件在磁盘的位置以及文件的属性
用strings mft.txt | grep “.txt ” txt是给的提示
Q6
What is the full path of the browser cache created when the user visited “www.13cubed.com” ?
C:\Users\CTF\AppData\Local\Packages\MICROS~1.MIC\AC\#!001\MICROS~1\Cache\AHF2COV9\13cubed[1].htm
和上面一样,从mft中找“www.13cubed.com”就可以
strings mft.txt | grep “13cubed ”