2022——赣网杯MISC题目来学习volatility

已于 2023-03-03 14:08:50 修改
阅读量409 收藏 4
点赞数
分类专栏: CTF 取证 文章标签: 安全
于 2023-03-03 14:06:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x647498949/article/details/129318687
版权

下载的附件是一个raw文件

1.先使用vol查看镜像的配置文件

./volatility -f 1.raw imageinfo

在这里插入图片描述

2.发现是Win7SP1x64的系统,然后查看进程

./volatility -f 1.raw –profile=Win7SP1x64 pslist

在这里插入图片描述
在这里插入图片描述
3.例如这里要导出的文件是DumpIt.exe,那么我们可以查看cmd使用情况

./volatility -f 1.raw –profile=Win7SP1x64 cmdscan

在这里插入图片描述
4.然后将DumpIt.exe导出到本地(从内存dump进程的内存,提取进程)

./volatility -f 1.raw –profile=Win7SP1x64 memdump -p 4272 –dump-dir=./
-p:指定PID号
–dump-dir=接上要存储文件的路径

在这里插入图片描述
这里得到文件之后我们可以使用foremost进行分离
在这里插入图片描述
5.使用命令查看桌面的情况

./volatility -f 1.raw –profile=Win7SP1x64 filescan |grep Desktop
filescan:扫描文件,可以搭配grep使用,从而快速查找关键文件

在这里插入图片描述
6.这里发现了flag.kdbxdbx文件,应该是有内容的,所以我们将其导出

./volatility -f 1.raw –profile=Win7SP1x64 dumpfiles -Q 0x000000002a2897e0 -D ./
dumpfiles:从内存dump文件
-Q:指定偏移量
-D:存储文件的文件夹

在这里插入图片描述
在这里插入图片描述

然后本题使用keePass解密即可得到flag,之前得到的是火狐浏览器密码,使用firepwd即可解密得到keePass密码

7.列出历史cmd命令

./volatility -f 1.raw –profile=Win7SP1x64 cmdline
./volatility -f 1.raw –profile=Win7SP1x64 cmdscan

在这里插入图片描述
在这里插入图片描述

8.列出进程列表

./volatility -f 1.raw –profile=Win7SP1x64 psscan
./volatility -f 1.raw –profile=Win7SP1x64 pslist

在这里插入图片描述
9.扫描建立的连接和套接字,类似于netstat

./volatility -f 1.raw –profile=Win7SP1x64 netscan

在这里插入图片描述

10.扫描windows服务列表

./volatility -f 1.raw –profile=Win7SP1x64 svcscan

在这里插入图片描述

11.显示GDI样式的截屏

./volatility -f 1.raw –profile=Win7SP1x64 screenshot –dump-dir=./

在这里插入图片描述

12.显示每个进程的加载dll列表

./volatility -f 1.raw –profile=Win7SP1x64 dlllist

在这里插入图片描述

13.提取日志文件

./volatility -f 1.raw –profile=Win7SP1x64 dumpregistry –dump-dir=./

在这里插入图片描述

在这里插入图片描述

14.查看用户名密码信息

./volatility -f 1.raw –profile=Win7SP1x64 hashdump

在这里插入图片描述

15.查看浏览器历史记录

./volatility -f 1.raw –profile=Win7SP1x64 iehistory

在这里插入图片描述
17.查看注册表配置单元

./volatility -f 1.raw –profile=Win7SP1x64 hivelist

在这里插入图片描述
18.查看注册表键名

./volatility -f 1.raw –profile=Win7SP1x64 hivedump -o 0xfffff8a005fef010

在这里插入图片描述
19.查看注册表键值

./volatility -f 1.vmem –profile=Win7SP1x64 printkey -K “xxxxxxx”

20.查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等

./volatility -f 1.raw –profile=Win7SP1x64 userassist

在这里插入图片描述
21.最大程序提取信息

./volatility -f 1.raw –profile=Win7SP1x64 timeliner

在这里插入图片描述
参考文章:

小菜猴子_x
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF之misc-内存分析(Volatility
Battery的博客
05-04 10万+
Volatility 简介: Volatility是一款开源的,基于Python开发的内存取证工具集,可以分析内存 中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、 Android操作系统的RAM数据进行提取与分析。(高等级版本kali现需要自己下载Volatility,依赖于python环境安装)volatility 使用: 开始准备: volatility -f <文件名>–profile= <配置文件><插件>[插件.
网杯2022初赛misc1
wha1e的博客
12-10 495
网杯2022初赛misc1
2021网杯网络安全大赛_部分Writeup
Keepb1ue的博客
12-07 1万+
Web 1.checkin 这种游戏类题目,一般都是用js去做控制结果 直接查看网页源码点到http://118.31.60.233:10000/js/game.js Ctrl+F直接搜flag flag{134791e2-d93c-4d01-a71f-dcbe82d7fe08} 2.gwb-web-easypop <?php error_reporting(0); highlight_file(__FILE__); $pwd=getcwd(); class func { pu
2021年“莲城杯”网络安全大赛-Misc-解密试试
qq_43264813的博客
10-13 592
2021年“莲城杯”网络安全大赛-Misc-解密试试 题目名称:解密试试 题目内容:解密试试 题目分值:300.0 题目难度:困难 相关附件:mem的附件.7z 解题思路: 1.raw文件,内存取证题 进入.raw文件所在目录,输入命令判断该文件内存进程 volatility.exe -f mem.raw imageinfo 2.可以得到profile类型WinXPSP2x86,filescan保存一下 volatility.exe -f mem.raw --profile=WinXPSP2x86 f
MISC取证_ezEforensics
Lavignesong的专栏
01-05 401
这次是一道打开之后需要百度这是什么格式的题,不常见的raw文件。百度之后发现是未格式化的系统文件,结合题目,应该是一道比较简单的取证分析题。话不多说,先上工具。这次用到的工具是volatility,紧急下载安装kali后发现新版本的Kali没有volatility,还是得自己安装。
网鼎杯2022白虎组题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎组,ctf
2022第三届网鼎杯白虎组misc034附件
09-03
【描述】"2022第三届网鼎杯白虎组misc034附件"的描述简洁,没有提供具体的技术细节,这表明我们需要通过解压提供的文件来获取更多信息。"tHXcode_dadb2f6e0ae8bd97133e334a8a481045"看起来像是一个被哈希处理过的...
2022第三届网鼎杯白虎组misc830原题附件
09-03
2022第三届网鼎杯白虎组misc830原题附件
2022年网络安全中山市香山杯misc题目附件
11-01
2022年网络安全中山市香山杯misc题目附件
2020网鼎杯朱雀组题目.rar
05-20
含有misc,re,crypto,pwn,web。web题为thinkjava
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
Misc-内存取证
qq_42240719的博客
10-01 928
Volatility 2.6 Linux Standalone Executables (x64)入门级操作
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3332
内存取证神器Volatility常用指令大全
volatility常用的命令
菜菜的博客
09-30 2237
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
[V&N2020 公开赛]内存取证
volcano的博客
04-08 4579
题目地址: https://buuoj.cn/challenges#[V&N2020 公开赛]内存取证 这题用到的内存取证分析工具是Volatility 关于这个工具的具体命令非常多,可以在官方页面仔细看看 解题 先下载上面的附件,这种raw文件是内存取证工具Dumpit提取内存生成的内存转储文件。 ...
Volatility工具使用
admin的博客
10-14 1210
https://zhuanlan.zhihu.com/p/29952999 教程 Dumplt生成内存镜像.raw volatility_2.6_win64_standalone.exe -f 镜像 imageinfo 获取imageinfo信息 volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw imageinfo 进程pslist volatility_2.6_win64_standalone.exe -f QQQ
Kali linux 学习笔记(八十七)计算机取证——工具(dumpit、volatility) 2020.4.22
闵行小鱼塘
04-22 7446
本节学习计算机取证工具,不考虑法律因素、法庭证据、监管链、文档记录等环节,只学习kali中部分取证工具
Volatility
ShenMian000
10-03 3万+
下载 发行版下载 语法 Volatility -f &amp;amp;amp;amp;amp;lt;RAW文件&amp;amp;amp;amp;amp;gt; &amp;amp;amp;amp;amp;lt;插件&amp;amp;amp;amp;amp;gt; [插件参数] 基本插件 Imageinfo 用于查看内存样本的摘要信息。 &amp;amp;amp;amp;amp;gt; volatility -f IMAGE.raw imagei
[笔记]Volatility 取证工具使用以及Hollow插件使用
二次元怪兽的博客
06-14 1589
Volatility内存取证使用Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。而Dumpit是用于生成Windows机器的物理内存转储,可运行在32位/64位系统中,可完美地部署在USB闪存盘上,快速响应事件。Volatility:https://github.com/volatilityfoundation/volatility win10 python2.7 DumpIt.exe执行时 报错 解决方案 htt
misc题目wireshark
最新发布
08-24
鉴于您提供的引用内容,misc题目wireshark是一个网络安全杂项题目,涉及到使用Wireshark工具来分析数据包文件。具体来说,其中包括分析attack.pcapng数据包文件,寻找黑客的IP地址作为FLAG,以及提取黑客下载的文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小菜猴子_x

你的鼓励将是我创造的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值