BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹吗

最新推荐文章于 2023-04-20 15:45:42 发布
最新推荐文章于 2023-04-20 15:45:42 发布
阅读量1.1k 收藏 2
点赞数 2
分类专栏: # misc CTF系列问题 文章标签: 内存取证 volatility
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzl_007/article/details/121313885
版权
该篇博客介绍了如何通过Volatility工具分析内存镜像文件,查找系统操作痕迹。作者首先使用imageinfo命令确定内存版本,接着进行cmdscan来寻找进程,尤其是时间最近的活动。在找到PID为1992的进程后,利用binwalk和foremost提取数据,最终在PNG文件中发现二维码并解码得到一串字符串,该字符串与解密flag有关。
摘要由CSDN通过智能技术生成

BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹吗

打开一个镜像文件

在这里插入图片描述

分析镜像,看一下文件的profile值,确定内存镜像的版本

volatility -f memory.img imageinfo

在这里插入图片描述

接下来搜索一下进程,看看出题人做了些什么操作

在这里插入图片描述

仔细看一眼时间,试试最后那个,时间最近的操作

在这里插入图片描述

因为是win2003,查看一下这个操作从cmd命令

volatility -f memory.img --profile=Win2003SP1x86 cmdscan

在这里插入图片描述

dump下来,pid是1992

在这里插入图片描述

binwalk查看一下,里面有很多的东西

在这里插入图片描述

foremost分离出来

在这里插入图片描述

png里面找到可疑的文件

在这里插入图片描述

扫描二维码

在这里插入图片描述

jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=

在这里插入图片描述

得到一串字符串,第二张图片提示了key和vi AES解密得到flag

flag{F0uNd_s0m3th1ng_1n_M3mory}

yyyyzzzllll
关注
专栏目录
BUUCTF [HDCTF2019]你能发现什么蛛丝马迹
qq_51447967的博客
04-28 614
题目分析 下载到一个.img后缀的文件,其实就是一个软盘的镜像文件,和ISO的镜像差不多,一看这种类型的就是取证了。这里应该是内存取证,使用Volatility工具镜像内存的分析。 首先查看镜像的系统版本 vol.py -f ./memory.img imageinfo 得到 主要看Profile属性,这里显示了三个可能的操作系统版本,都可以试试。 在指定了版本之后查看进程 vol.py -f memory.img --profile=Win2003SP1x86 pslist 得
BUUCTF-MISC-[GWCTF2019]math
zippo1234的博客
10-30 1119
BUUCTF-MISC-[GWCTF2019]math[GWCTF2019]math题目分析开始1.题目2.源程序分析(1)查壳(2)IDA分析3.pwntools4.脚本5.get flag结语 每天一题,只能多不能少 [GWCTF2019]math 题目分析 pwntools交互 recvuntil方法 开始 1.题目 给出一个环境。 环境连接后提示: 给出一个算式,要成功计算150次,每次几秒内没给出结果就退出。 和这个环境的源程序。gwctf_2019_math 2.源程序分析 (1)查壳
BuuCTF难题详解| Misc | [HDCTF2019]你能发现什么蛛丝马迹
pone2233的博客
12-15 1763
题目介绍 这道题目,是一道非常典型的内存取证的题目,相信会了这道题目,大家会对内存取证更加喜欢。 [HDCTF2019]你能发现什么蛛丝马迹吗 下载文件一看就是一个内存取证的题目,我们先看看版本 :volatility.exe -f memory.img imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG sear
BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹
末初的CSDN博客
11-20 2509
https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97 memory.img Volatility分析 查看文件的Profile volatility -f memory.img imageinfo 猜测为:Win2003SP1x86 查看进程 volatility -f mem
你能发现什么蛛丝马迹
wangjin7356的博客
03-10 283
题目链接 https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97 解题过程 打开题目是个镜像文件:memory.img 考虑使用volatility取证工具。将memory.img复制到kali中,用volatility分析: volatility imageinfo -f memory
buuctf刷题记录13 [HDCTF2019]Maze
ytj00的博客
08-01 557
第一次接触花指令,搞了一下午才弄懂 查壳,是upx加壳,脱壳后,拖进ida,发现无法f5 可以看出这应该是关键代码的一部分。 这里jnz跳转到了下一行代码,相当于没跳转 没什么用,而下面的call near ptr 0EC85D78Bh调用了一个不是地址的地址,可以推断出这段代码添加了花指令,IDA分析失败了。 可以确定这个jnz指令是花指令,还有下面的call指令。 先将jnz指令nop掉。 然后这个call还是有问题 之后就是这个call指令,不能全部nop,因为后面那个东西可能是有效代码。摁d将
BUUCTF-MISC-[INSHack2019]Passthru
zippo1234的博客
10-30 996
BUUCTF-MISC-[INSHack2019]Passthru[INSHack2019]Passthru题目分析开始1.题目2.流量包3.分析http流量4.tshark导出数据5.提取数据6.get flag结语 每天一题,只能多不能少 [INSHack2019]Passthru 题目分析 pre master secret解密ssl传输 网页访问流量分析 tshark提取流量数据 开始 1.题目 题目给了1个介绍、一个流量包和1个sslkey.log。 You're part of a comp
BUUCTF-MISC-[watevrCTF 2019]Unspaellablle
zippo1234的博客
10-23 823
BUUCTF-MISC-[watevrCTF 2019]Unspaellablle[watevrCTF 2019]Unspaellablle题目分析开始1.题目2.分析3.找原文4.比较5. get flag结语 每天一题,只能多不能少 [watevrCTF 2019]Unspaellablle 题目分析 国外的比赛比较常见这种,需要你去古狗一下。个人比较常见的还是词频字频分析 开始 1.题目 给了一个txt。里面是。。诗歌?反正诗歌英语的文章。 百度之后是什么星际之子。之类的。 2.分析 一开始觉得可能
BUUCTF-MISC-WP(详细解题思路)
最新发布
01-27
BUUCTF-MISC-WP(详细解题思路)
BUUCTF-CRYPTO-[INSHack2019]Yet Another RSA Challenge - Part 1
zippo1234的博客
10-25 834
BUUCTF-CRYPTO-[INSHack2019]Yet Another RSA Challenge - Part 1[INSHack2019]Yet Another RSA Challenge - Part 1题目分析开始1.题目2.破解3.上脚本4.get flag结语 每天一题,只能多不能少 [INSHack2019]Yet Another RSA Challenge - Part 1 题目分析 根据信息爆破p 开始 1.题目 import subprocess p = subprocess.ch
freedns.ws 批量解析是否有毒没经过测试
04-04
freedns.ws批量解析 批量解析 freedns.ws需要的速度下载去吧啊
buu的几道misc
qq_44640313的博客
04-20 298
VeraCrypt挂载和内存分析和AES解密,TLS协议
BUUCTF:7月做题记录
qq_46230755的博客
07-19 1701
摸鱼嘿嘿嘿
CTFHub_历年真题_MISC——“图片修复”、“磁盘恢复”、“蛛丝马迹
Ho1aAs‘s Blog
07-24 5927
文章目录使用工具解题过程Ⅰ、图片修复Ⅱ、磁盘恢复Ⅲ、蛛丝马迹完 –>CTFHub传送门<– 使用工具 winhex Photoshop Wireshark 解题过程 Ⅰ、图片修复 附件是损坏的GIF文件 首先看看GIF的文件头,果然,文件头缺失 –>文件头大全传送门<– 使用winhex修复文件头47494638 在第一个字符“47”之后添加3组0字节,右键——编辑——添加零字节 修改后GIF正常显示 FLAG存在于其中两张动图上,使用PS分离 Ⅱ、磁盘恢复 附件是W
misc
qq_43613772的博客
07-17 2943
Misc 是英文 Miscellaneous 的前四个字母,杂项、混合体、大杂烩的意思。 Misc 在国外的比赛中其实又被具体划分为各个小块,有 Recon、Forensic、Stego、Misc… 在国内内的比赛中,被统一划分入 Misc 领域,有时 Crypto(尤其是古典密码)也被划入其中。 杂项大致有几种类型: 流量分析 隐写 压缩包处理 文件格式分析 攻击取证 主要介绍一些获取信息的渠道...
[BUUCTF]-Basic-Upload-Labs-Linux
yzl_007的博客
08-27 5216
[BUUCTF]-Basic-Upload-Labs-Linux 打开环境地址,其实是upload-labs这个文件上传漏洞靶场,之前有文件已经介绍了各个关卡的通过技巧,这里给上链接 https://blog.csdn.net/yzl_007/article/details/119395730 然后这里演示一下第一关吧 禁用掉javascript,将划线部分删去 然后直接上传php一句话木马文件 返回地址 …/upload/shell.php 蚁剑连接 然后在根目录找到flag 可以每一关都尝试一下
【从0开始学web】78-88 文件包含
yzl_007的博客
10-14 3635
【从0开始学web】78-88 文件包含 文件包含题,可以先了解一下文件包含漏洞 https://blog.csdn.net/yzl_007/article/details/120261435 web78 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 10:52:43 # @Last Modified by: h1xa # @Last Modified time: 2020-09-16 10:54:2
curl_setopt 函数
yzl_007的博客
10-17 3528
curl_setopt 函数 php curl_setopt函数的作用是为一个CURL会话设置选项,其语法是“curl_setopt (int ch, string option, mixed value)”,参数“option”表示想要的设置。 三个参数分别的作用 ch 由 curl_init() 返回的 cURL 句柄。 option 需要设置的CURLOPT_XXX选项。 value 将设置在option选项上的值。 下面先看一个示例 //来源菜鸟教程,初始化一个新的cURL会话并获取一个网页 &lt
buuctf misc
09-28
buuctf misc是一个CTF比赛中的一个题目,其中涉及到了压缩包解密和二维码分析等内容。根据引用内容,压缩包是用四位数字加密的,需要尝试不同的组合来解密。同时,二维码文件中可能含有pk字母,还可能包含一个zip压缩包。你可以使用Winhex来查看文件的内容,并使用binwalk来分析文件并提取zip压缩包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值