目录
什么是内存取证?
内存取证(Memory Forensics)是指从计算机内存中获取信息、分析、提取和恢复被删除或损坏的数据的过程。它通常用于调查计算机犯罪案件,例如黑客攻击、数据丢失和其他安全事件。
内存取证的主要目的?
内存取证的主要目的是从计算机内存中获取信息,以帮助安全专业人员分析和调查以下内容:
-
检测恶意软件的活动:通过分析内存中的进程列表、网络连接、注册表项等,确定是否存在恶意软件的踪迹。
-
追踪黑客入侵的痕迹:通过分析内存中的进程执行情况、文件操作、网络通信等,追踪黑客入侵的操作方式和目标。
-
恢复被删除或格式化的文件:通过分析内存中的文件系统数据,尝试恢复被删除或格式化的文件,防止数据丢失。
-
分析数据泄露事件:通过分析内存中的进程和文件系统数据,确定是否存在被盗数据。
-
调查计算机犯罪案件:通过分析内存中的进程、网络通信、注册表等信息,协助调查计算机犯罪案件的发生过程和结果。
-
分析计算机系统的安全状况:通过分析内存中的系统配置、安全策略等信息,评估计算机系统的安全状况。
内存取证的步骤
内存取证的步骤通常包括以下几个方面:
-
获取内存镜像:使用专门的内存镜像工具或直接从硬盘中提取内存镜像文件。
-
分析内存镜像:使用内存取证工具对内存镜像进行分析,寻找可疑的活动或丢失的数据的迹象。
-
提取有价值的数据:从内存镜像中提取有价值的数据,如密码、敏感文件、注册表项等。
-
数据分析和验证:对提取的数据进行分析和验证,以确定其可信度和完整性。
-
制作调查报告:根据内存取证过程和结果,制作详细的调查报告,提供给安全专业人员进行分析和判断。
-
提交调查报告:将调查报告提交给相关部门进行审查和批准,以便用于案件的侦破和诉讼。
内存取证工具
内存取证的工具通常包括以下几种:
- Volatility:一款开源的内存取证工具,支持多种操作系统和架构。
- Redline:一款商业化的内存取证工具,提供更高级的功能和定制化服务。
- FTK Imager:一款功能强大的内存取证工具,支持多种操作系统和文件系统。
- EnCase:一款集成了多种取证工具的综合性软件,可以进行多种取证工作。
内存取证分析工具Volatility2.6
Volatility 是一款Python开发的开源的内存取证分析工具,用于对内存镜像中的恶意代码,操作系统,应用程序,可疑活动等进行分析取证。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。本次使用Python2环境下的Volatility2.6进行解题。
关于Volatility2.6的常用命令
解题思路
案例说明
[NEWSCTF2021] very-ez-dump
获取基本信息
获取用户hash值
爆破用户hash值
查看进程
在进程中可以发现有cmd.exe
查看cmd的历史纪录
这里可以发现mumuzi用户的密码(ljmmz)ovo
再看看cmd的返回结果
结果差不多
去搜一下flag的文件
发现有flag.zip文件
dump下来
可以看路径发现是mumuzi的文件
进行解压
发现需要密码,将前面得到的mumuzi的密码填入
得到flag.txt文件