简单的内存取证

已于 2024-08-26 00:49:24 修改
阅读量249 收藏 5
点赞数 4
文章标签: 网络安全
于 2024-08-26 00:44:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74152497/article/details/141537646
版权

工具: volatility2.6 + gimp

使用插件 mimikatz 看看账户和密码

python2 vol.py --plugins=/plugins/ -f 'baby_misc.raw' --profile=Win7SP1x64 mimikatz

image-20240824220751-fex2nad

然后再使用 filescan 插件扫描一下可疑的文件

python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 filescan | grep -E 'png|jpg|gif|zip|rar|7z|pdf|txt|doc|xls'

image-20240824221056-q0ym22u

可以看到有一个 flag.ziphint.txt,分别提取出来使用 dmpfiles 插件

python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 	dumpfiles -Q 0x000000003e7d2650 -D /

-Q 指定偏移量

-D 输出的目录 -D /flag

image-20240824221413-gu88l3b

然后查看 hint.txt 文件,

image-20240824221959-96ix3zn

然后我们使用 pslist 插件查看进程,发现可疑进程 calc.exe,使用 memdump插件进⾏转存

python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 memdump -n calc.exe -D /

将得到的 1516.dmp 文件使用 foremost 分离里面的文件,可以看到一个 zip 里面有 flag.zip

flag{b1c16538-33f1-56b1-e620-b3a3f403a7f4}

因为没有环境了所以不知道对错,但是感觉是错的,我们之前得到的桌面上的 flag.zip 需要密码,所以我们应该找到密码。

后面发现一件文章 【CTF】利用volatility与Gimp实现Windows内存取证 - 个人文章 - SegmentFault 思否

可以利用 Gimp 打开,查看镜像中的系统界面

使用 Gimp

将我们 memdump 的文件,把后缀改成 .data 最后,拖入工具即可。

image-20240825234734-2pqs9ew

一开始是这样子的,我们将它放大就行,然后设置图像类型为 RGB透明,这样对比比较明显,可以比较容易发现有效信息,搜索了一下 win7 的分辨率,设置一下

image-20240825234533-sljmjvr

image-20240825234943-2l03b0q

然后就一直拖动位移就行,

image-20240825235118-i6fpqwr

这个位置可以看出来应该是有图像的,因为宽度不合适所以才这样,调整宽度直至图像清晰就行,现在就很明显了,继续调就行

image-20240825235250-8vnbaox

拖动位移使图像居中,然后继续调整宽度,可以得到清晰的图像。

image-20240826000213-ychtcbx

计算机上的数字应该是我们要利用的 132424464,直接去解压缩吧,不行,我们直接使用 windows 插件打印桌面窗口(详细信息)

python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 windows  | grep "132424464"

image-20240826002715-p1b08sj

最后在,16 进制转一下得到密码, ^&G12BDd

**flag:**​flag{fba99a87-2278-f175-5055-a47f5773c131}

lpppp小公主
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
简单内存取证介绍
qq_41814777的博客
10-26 1812
定义: 通常指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据。 内存是操作系统及各种软件交换数据的区域,数据易丢失(Volatile),通常在关机后数据很快就消失。(是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。) 工具介绍:volatility volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统...
内存取证-手册
qq_52579508的博客
07-23 1430
取证工具 : Volatility。
Windows内存取证
woshicainiao666的博客
01-03 686
大道就在脚下,走!
浅谈内存取证
weixin_50464560的博客
09-15 1273
i春秋作家:lem0n原文来自:浅谈内存取证0x00 前言网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了内存取证研究的起源
OtterCTF-内存取证
5L2g556F5ZWl77yf
11-30 1226
控制系统启动的有三个注册表项,在HKEY_LOCAL_MACHINE/SYSTEM下,存在着 CurrentControlSet、ControlSet001、ControlSet002这三个子键,其中,ControlSet001,ControlSet002这两个子键中包含主机名。通过文件搜索相关关键字,分析来源,发现下载 BitTorrent协议的种子文件 ,在第7题的进程中也发现了相关进程,转储该文件进行分析。查看该进程进程树,发现它还有一个字进程vmware-tray.ex。
windows内存取证-简单
weixin_48421613的博客
11-08 475
作为 Security Blue 团队的成员,您的任务是使用 Redline 和 Volatility 工具分析内存转储。您的目标是跟踪攻击者在受感染计算机上采取的步骤,并确定他们如何设法绕过网络入侵检测系统“NIDS”。您的调查将涉及识别攻击中使用的特定恶意软件系列及其特征。此外,您的任务是识别和缓解攻击者留下的任何痕迹或足迹。
内存取证
人饭子的博客
10-30 1330
内存取证 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取重要信息。 相关文章 计算机内存取证技术 数字取证-死活取证 Linux Forensics Series Chapter 1 — Memory Forensics 使用工具进...
内存取证真题
苏生要努力
02-25 1140
背景:作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。应急响应阶段题目主要包含:Windows 内存镜像分析,Linux 内存镜像分析, 磁盘文件恢复,恶意程序分析等内容。
内存取证系列2
SwBack的博客
11-07 1149
内存取证,volatility练习,职业技能大赛
linux取证内存取证
NFMSR的博客
07-19 2846
内存取证 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。 传统方法: 可读的文本和关键字搜索 工具: Volatility 方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析 对于每个可疑的进程,如果...
内存取证 volatility
07-12
内存取证网络安全与犯罪调查中的一个重要领域,它涉及到在计算机系统关机或重启后,从内存映像中提取和分析数据。Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等...
内存取证的框架
01-20
内存取证是一种重要的网络安全技术,主要用于检测和分析计算机系统中的恶意活动。它主要关注的是系统运行时的状态,即内存中的信息,因为很多恶意软件为了逃避传统静态分析,会选择在内存中执行其恶意行为。"内存...
内存取证的艺术
02-21
内存取证是一种调查技术,旨在分析计算机系统在被非法入侵或遭受其他安全事件之后所留下的数字证据。取证专家通常会利用内存取证来捕捉那些只存在于内存中的动态数据,因为这些数据在系统关闭后会丢失。内存取证不仅...
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
内存取证工具 MAGNET RAM Capture
11-09
内存取证是信息安全领域中至关重要的一环,它涉及在系统运行时获取并分析内存中的数据,以寻找潜在的犯罪证据、安全漏洞或者恶意软件活动。MAGNET RAM Capture是一款专门用于此目的的专业工具,其小巧的体积(大约...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8414
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
源代码-创意互动网站导航(ASP静态版) v1.0.zip
最新发布
08-24
源代码-创意互动网站导航(ASP静态版) v1.0.zip 源代码-创意互动网站导航(ASP静态版) v1.0.zip 源代码-创意互动网站导航(ASP静态版) v1.0.zip 源代码-创意互动网站导航(ASP静态版) v1.0.zip 源代码-创意互动网站导航(ASP静态版) v1.0.zip 源代码-创意互动网站导航(ASP静态版) v1.0.zip 源代码-创意互动网站导航(ASP静态版) v1.0.zip 源代码-创意互动网站导航(ASP静态版) v1.0.zip 源代码-创意互动网站导航(ASP静态版) v1.0.zip
java源码资源很不错的Java计算器java源码资源很不错的Java计算器
08-24
java源码资源很不错的Java计算器java源码资源很不错的Java计算器提取方式是百度网盘分享地址
源代码-补单系统 v1.0.zip
08-24
源代码-补单系统 v1.0.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值