内 存 取 证

1.用户密码

从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password}形式提交(密码为6位);

1)查看帮助 -h

./volatility_2.6_lin64_standalone -h

2)获取内存镜像文件的信息 imageinfo

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem imageinfo

3)提取操作系统内存中的用户密码哈希值 hashdump

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 hashdump

4)提取操作系统本地安全屏障权限数据库(LSA Secrets)中存储的敏感信息 lsadump

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 lsadump

Flag{admin,H8d*or}

2.ip地址和主机名

获取当前系统ip地址及主机名,以Flag{ip:主机名}形式提交;

1)分析内存中的网络活动信息 netscan

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 netscan

2)列举内存中加载的 Windows 注册表文件(hive)的位置和相关信息

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 hivelist

\REGISTRY\MACHINE\SYSTEM 是 Windows 操作系统中的一个关键注册表 hive(文件)。它保存着系统级别的配置信息,包括硬件配置、设备驱动程序、服务和安全设置等。

3)查找并打印指定注册表键的内容 printkey

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem -- profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --

profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"

# -o 0xfffff8a000024010 选项指定了要打印的注册表键的物理地址,而

 -K "ControlSet001" 是指定要打印的注册表键的路径。

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --

profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

# -o 0xfffff8a000024010 是一个选项,它指定了要打印的注册表键的物理地址。

 -K "ControlSet001\Control\ComputerName\ComputerName" 是指定要打印的注册表键的路径。具体来说,这个路径是 ControlSet001 下的 Control 子键下的 ComputerName 子键下的 ComputerName 值。

Flag{192.168.232.129:CXKKA2ZCLKN}

3.当前系统中存在的挖矿进程,请获取指向的矿池地址,以Flag{ip}形式提交;

一般存在矿池就有不正常的服务,异常计算资源使用,可疑进程名称,高度持续运行的进程或者异常网络流量

1)扫描内存中的网络连接信息并将其显示出来

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 netscan

Flag{51.254.84.37}

4.恶意进程在系统中注册了服务,请将服务名以Flag{服务名}形式提交

根据上一题得到1716

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 pslist -p 1716

扫描和列举服务信息的插件

5.从内存文件中获取黑客进入系统后下载的flag文件,将文件中的值作为Flag值提交;

1)提取和分析进程的命令行信息的插件

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 cmdline

2)扫描和分析内存中的文件信息 filescan

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --
profile=Win7SP1x64 filescan

3)扫描和分析内存中的文件信息,将结果传递给 “grep” 命令进行筛选,以找到包含指定关键词的文件,如文本文件 (“txt”)、图片文件 (“png”, “jpg”, “gif”) 和桌面文件 (“desktop”)
./volatility_2.6_lin64_standalone --file = neicun (内存取证文件) .vmem --
profile = Win7SP1x64 filescan | grep -i "txt\|png\|flag\|jpg\|gif\|desktop"

4)提取的文件将保存在当前目录中

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f810a70 -D ./

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f832360 -D ./

用十六进制打开第一个文件

.png的文件头89504E47

用十六进制打开第一个文件

.png的文件尾89504E47

复制第二个文件到第一个文件下面合并为一个并保存

打开得到flag

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/314624.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【数据库原理】(21)查询处理过程

关系型数据库系统的查询处理流程是数据库性能的关键,该流程涉及到将用户的查询请求转化成有效的数据检索操作。通常可以分为四个阶段:查询分析、查询处理、查询优化和查询执行,如图所示。 第一步:查询分析 这个阶段是整个查询处理的起点。数…

CDH 6.3启动失败,由于日志写入权限原因导致cloudera-scm-server.log未生成

CDH 6.3启动失败,CM之前都能正常启动,服务器重启后,启动出现异常,需要排查具体错误,查看日志,发现日志cloudera-scm-server.log也未生成,不好定位具体原因。于是查看cloudera-scm-server状态&am…

Python流程控制语句

目录 一、分支结构 (一)单分支语句 (二)双分支语句 (三)多分支语句 (四)嵌套的分支语句 二、循环结构 循环结构概述 (一)for循环 (二&am…

最佳解决方案:如何在网络爬虫中解决验证码

Captcha(全自动区分计算机和人类的公开图灵测试)是广泛应用的安全措施,用于区分合法的人类用户和自动化机器人。它通过呈现复杂的挑战,包括视觉上扭曲的文本、复杂的图像或复杂的拼图等方式,要求用户成功解决这些挑战以…

vue3+vite+ts+pinia新建项目(略详细版)

1、新建项目 npm create vite@latest 2、安装依赖 yarn add vue-router yarn add -D @types/node vite-plugin-pages sass sass-loader 3、配置别名 //vite.config.ts import { defineConfig } from vite import path from node:path export default defineConfig({ plu…

【huggingface】【pytorch-image-models】timm框架中使用albumentations库数据增广

文章目录 一、前言二、实操2.1 声明库2.2 定义你的数据增广算子2.3 加入其中 一、前言 问题是这样的,在使用timm框架训练时,发现数据增广不够,想用Albumentations库的数据增广,怎么把后者嵌入到前者的训练中。 其实也是比较简单…

JVM(字节码文件详解)

JVM的组成 类加载器运行时数据区域执行引擎(主要理解垃圾回收器,及时编译器)本地方法 字节码文件的组成 在讲解字节码文件组成前,可以安装使用“jclasslib”工具或idea中“jclasslib”插件进行字节码文件查看 jclasslib的Github地…

写一个简单的Java的Gui文本输入窗口,JFrame的简单使用

JFrame是指一个计算机语言-java的GUI程序的基本思路是以JFrame为基础,它是屏幕上window的对象,能够最大化、最小化、关闭。 Swing的三个基本构造块:标签、按钮和文本字段;但是需要个地方安放它们,并希望用户知道如何处理它们。JFrame 类就是解决这个问题的——它是一个容器…

计算机丢失mfc140.dll怎么办?解决mfc140.dll缺失的3种方法分享

计算机丢失mfc140.dll怎么办?在使用微软办公软件的时候,可能会弹出一个错误提示框说“找不到mfc140.dll,无法继续执行代码”。为了不影响工作效率,我们可能需要亲自动手尝试修复这一问题。以下是一些mfc140.dll缺失的3种方法相关介…

代码随想录算法训练营第17天 | 110.平衡二叉树 + 257. 二叉树的所有路径 + 404.左叶子之和

今日内容 110.平衡二叉树 257. 二叉树的所有路径 404.左叶子之和 110.平衡二叉树 - Easy 题目链接:. - 力扣(LeetCode) 给定一个二叉树,判断它是否是高度平衡的二叉树。 本题中,一棵高度平衡二叉树定义为&#xff1…

PMP报考条件?

一、PMP报考条件很简单: 年龄满足22周岁有官方授权的培训机构给的 35个PDU(学时) 就能报名。 是不是相当于没有条件,题主说的三年内累计60PDU,是续证时才需要的,网上说的4500小时、7500小时项目管理经验&…

500mA High Voltage Linear Charger with OVP/OCP

一、General Description YHM2810 is a highly integrated, single-cell Li-ion battery charger with system power path management for space-limited portable applications. The full charger function features Trickle-charge, constant current fast charge and const…

2024.1.11 关于 Jedis 库操作 Redis 基本演示

目录 引言 通用命令 SET & GET EXISTS & DEL KEYS EXPIRE & TTL TYPE String 类型命令 MGET & MSET GETRANGE & SETRANGE APPEND INCR & DECR List 类型命令 LPUSH & LRANG LPOP & LPOP BLPOP & BRPOP LLEN Set 类型命…

时间序列数据库选型: influxdb; netdiscover列出docker实例们的ip

influxdb influxdb: 有收费版本、有开源版本 influxdb 安装、启动(docker) docker run -itd --name influxdb-dev -p 8086:8086 influxdb #influxdb的web客户端(端口8003)被去掉了 #8006是web-service端口#docker exec -it influxdb-dev bashinfluxdb 自带web界面 从后面的…

【设计模式-04】Factory工厂模式

简要描述 简单工厂静态工厂工厂方法 FactoryMethod 产品维度扩展 抽象工厂 产品一族进行扩展Spring IOC 一、工厂的定义 任何可以产生对象的方法或类,都可以称之为工厂单例也是一种工厂不可咬文嚼字,死扣概念为什么有了new之后,还要有工厂&am…

AJAX入门到实战,学习前端框架前必会的(ajax+node.js+webpack+git)(七)

08.什么是模块化? CommonJS 标准 09.ECMAScript 标准 - 默认导出和导入 10.ECMAScript 标准 - 命名导出和导入 11.包的概念 实操: server.js utils/lib/index.js utils/package.json 12.npm - 软件包管理器 13.npm - 安装所有依赖 从别处(网…

RTSP网络视频协议

一.RTSP网络视频协议介绍 RTSP是类似HTTP的应用层协议,一个典型的流媒体框架网络体系可参考下图,其中rtsp主要用于控制命令,rtcp主要用于视频质量的反馈,rtp用于视频、音频流从传输。 1、RTSP(Real Time Streaming P…

利用gulp工具对常规web项目进行压缩打包

前言 对于一个常规的web项目,如下项目目录 |- imgs | - img1.png | - img2.png |- js | - user.js | - utils.js |- css | - index.css | - user.css |- html | - user.html |- index.html可以使用各种构建工具(如webpack、gulp、grunt等)来…

IBM X3750 M4服务器主板故障全国协助处理

2023年12月31这天中午看到有位网络朋友加我,通过后该用户反馈说是有一台IBM System x3750 M4服务器有故障,现在无法开机。希望我们工程师协助他检测 分析 定位该故障问题原因和处理方案。 如上图所示:经过工程师与用户排查,发现该…

instanceof、对象类型转化、static关键字

instanceof 与 对象类型转换 instanceof是判断一个对象是否与一个类有关系的关键字 先看引用类型,再看实际类型 *例子:obj instanceof A 先看obj的类型是否与A有关联,无关联则报错,有关联则判断obj的实际类型 因为obj的实际类…