BMZCTF:内存取证三项(数字取证)

已于 2022-04-23 02:58:40 修改
阅读量915 收藏 4
点赞数
分类专栏: ctf 笔记 文章标签: 网络安全
于 2022-04-22 21:59:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zip471642048/article/details/124354615
版权
笔记 同时被 2 个专栏收录
113 篇文章 4 订阅
订阅专栏
ctf
107 篇文章 4 订阅
订阅专栏

文章目录

内存取证

内存取证三项.txt
一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑也不管自己在电脑上留下的操作急忙离开电脑,故作淡定的说:“我就是随便看看”。

1.小黑写的啥,据说是flag?
2.那么问题来了,小白的密码是啥?
3.小黑发送的机密文件里面到底是什么

查看imageinfo

volatility -f test.raw imageinfo

在这里插入图片描述

查看所有活动进程

volatility -f test.raw --profile WinXPSP2x86 pslist

在这里插入图片描述

查看下cmd.exe的使用情况

在这里插入图片描述

发现个压缩包,文件扫描出文件在内存的位置

volatility -f test.raw --profile WinXPSP2x86 filescan | grep P@ssW0rd_is_y0ur_bir7hd4y.zip

在这里插入图片描述

dump出文件在当前目录

volatility -f test.raw --profile WinXPSP2x86 dumpfiles -Q0x0000000002c61318 -D ./

在这里插入图片描述

修改为zip后缀

在这里插入图片描述

寻找压缩包密码

在这里插入图片描述

猜测压缩包密码

在这里插入图片描述

P@ssW0rd_is_y0ur_bir7hd4y.zip
根据压缩包的名字推测出压缩包密码可能是某个生日密码 按照格式来我的生日是2002年2月7日推测密码格式是
20020207进行8位数字密码进行爆破
在这里插入图片描述

得到flag

flag{Thi5_Is_s3cr3t!}
[mzq]
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BMZCTF内存取证三项.zip
10-21
1.小黑写的啥,据说是flag? 2.那么问题来了,小白的密码是啥? 3.小黑发送的机密文件里面到底是什么
BMZCTF内存取证三项
末初的CSDN博客
01-23 2068
发现个压缩包,使用文件扫描尝试找出这个文件在内存的位置。,压缩包密码是生日数字,而生日数字应该是。将内存镜像文件解压出来,改名为。所以掩码直接爆破八位纯数字即可。
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
内存取证习题复现
m0_50911938的博客
01-10 1467
内存取证 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令 imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一
CTF-内存取证
梳碧湖的砍柴人
12-13 2957
一道简单得CTF题,主要是内存取证方法 ![在这里插入图片描述](https://img-blog.csdnimg.cn/dfa0a8d28dcd4072973bb9b3f38e45e7.png?x-oss-process=image/watermark,type _d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5YiY5aeR5aiY55qE5oSP5Lit5Lq6,size_19,color_FFFFFF,t_70,g_se,x_16) ...
内存取证 volatility
07-12
内存取证 volatility
内存取证工具:MAGNET RAM Capture(v1.20)
11-21
内存取证工具-MAGNET RAM Capture,是由于取证公司MAGNET开发一款免费制作内存镜像的小工具,体积小、还可以对内存镜像设置分段。
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
Windows DFIR数字取证与事件响应
最新发布
04-15
Windows DFIR(数字取证与事件响应)是一种系统化的方法,用于识别、调查和应对网络安全事件。DFIR流程通常包括以下几个关键步骤: 1. **准备阶段**: - 建立和训练一个专业的应急响应团队。 - 制定和维护应急...
数字取证之Autopsy的下载安装及学习使用
05-27
数字取证之Autopsy的下载安装及学习使用
CTF内存取证入坑指南!稳!题目
03-28
内存取证类,了解到了一款牛逼的工具——Volatility,
内存取证工具
09-30
使用文档+DumpIt+volatity 使用DumpIt获取物理内存,生成物理内存镜像文件,使用volatity对物理内存镜像文件进行分析
The Art of Memory Forensics 内存取证
10-12
The Art of Memory Forensics 内存取证
artifacts:数字取证工件库
04-30
数字取证文物库 一个免费的,由社区提供的,机器可读的数字取证工件的知识库,全世界可以将其用作信息源,也可以在其他工具中使用。 如果您想在自己的工具中使用工件,那么您只需阅读YAML即可。 就是这样,没有其他...
OtterCTF 内存取证
weixin_51804748的博客
05-15 2533
最近小小的学习了一下内存取证,装环境搞了整整一天,非常麻烦,在阅读相关资料时偶然看到了一篇WriteUp,是关于OtterCTF2018的十三道内存取证题目,用的全部是同一个镜像,考察的知识点非常全面,可以用来熟悉一下volatility的使用,关键是比赛平台居然还开着,正好当作内存取证的一次入门学习 OtterCTF 1 - What the password? ┌──(root㉿kali2022)-[~] └─# vol.py -f /root/桌面/OtterCTF.vmem imageinfo
内存取证_CTF
a1912993110的博客
09-15 2254
内存取证 获取内存镜像信息,获取系统版本 volatility -f 1.raw imageinfo 查看进程信息 volatility -f 1.raw --profile=WinXPSP2x86 pslist 留意可疑进程例如:cmd.exe(控制台) notepad.exe(记事本) StikyNot.exe(便笺) 3.查看cmd.exe的使用情况 volatility -f 1.raw --profile=WinXPSP2x86 cmdscan 4. 查看notepad.exe
OtterCTF-内存取证
5L2g556F5ZWl77yf
11-30 1148
控制系统启动的有三个注册表项,在HKEY_LOCAL_MACHINE/SYSTEM下,存在着 CurrentControlSet、ControlSet001、ControlSet002这三个子键,其中,ControlSet001,ControlSet002这两个子键中包含主机名。通过文件搜索相关关键字,分析来源,发现下载 BitTorrent协议的种子文件 ,在第7题的进程中也发现了相关进程,转储该文件进行分析。查看该进程进程树,发现它还有一个字进程vmware-tray.ex。
内存取证
welcome.php
05-10 347
如有错误,希望大佬及时指出。 工具:volatility(如果找不到windows版本,可以使用kali linux自带的) volatility.exe -f I:\安装包\新建文件夹\电子取证\内存镜像_爆破-判断内存所处的系统-获得所有用户名和密码Hash,并解hash\ch2.dmp imageinfo volatility -f 镜像名称 imageinfo 用来自动分析内存所属的操作...
x-ways forensics: 综合取证分析工具
10-19
x-ways forensics是一款综合取证分析工具,用于数字取证和计算机取证。该工具提供了一系列功能,用于收集、分析和呈现证据,以帮助调查人员在犯罪调查、公司安全审计等领域进行数字取证工作。 x-ways forensics具有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值