记一些内存取证题

生活若循规蹈矩,我们便随心而动

1.Suspicion

给了俩文件

python2 vol.py -f mem.vmem imageinfo

查看可疑进程 

python2 vol.py -f mem.vmem --profile=WinXPSP2x86 pslist

发现可疑进程TrueCrypt.exe 

把这个进程提取出来。memdump -p 进程号 -D 目录

python2 vol.py -f mem.vmem --profile=WinXPSP2x86 memdump -p 2012 -D ./

注:这里不同于下载文件。

下载文件:dumpfiles -Q 0xxxxxxxx -D 目录 

 得到了2012.dmp文件

这时我们需要用到Elcomsoft Forensic Disk Decryptor

2.[湖湘杯2020] passwd

we need sha1(password)!!!

一眼hashdump

volatility -f WIN-BU6IJ7FI9RU-20190927-152050.raw --profile=Win7SP1x86_23418 hashdump

3. [NEWSCTF2021] very-ez-dump

python2 vol.py -f mem.raw --profile=Win7SP1x64 filescan | grep "flag"

发现flag.zip 

python2 vol.py -f mem.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e4b2070 -D ./
 

把他下载下来

 、

发现需要密码。

发现了(ljmmz)ovo

4. 福莱格殿下

啥提示也没有

先filescan看一下。

发现了fl4g.zip

找到了2张图片。

将png放入StegSolve里,发现了二维码。

因为我也不知flag是啥,谐音字为flag{abcdefg}

5.[HDCTF] 你能发现什么蛛丝马迹吗?

python2 vol.py -f memory.img --profile=Win2003SP1x86 filescan | grep "flag"

发现flag.png

得到一个二维码

扫码后得到一串

jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=

解码啥也不是。

猜测缺了个密钥。 

python2 vol.py -f memory.img --profile=Win2003SP1x86 cmdscan

 

发现了进程DumpIt.exe

提取出来

python2 vol.py -f memory.img --profile=Win2003SP1x86 memdump -p 1992 -D ./

得到了1992.dmp

foremost以下,得到了好多东西,但是是我们找到了

一眼AES

6.OtterCTF

1、What the password?

要找密码

先想到hashdump

volatility -f OtterCTF.vmem --profile=Win7SP1x64 hashdump

 但是他是加密的

然后我们再想到lsadump

volatility -f OtterCTF.vmem --profile=Win7SP1x64 lsadump

 

得到密码MortyIsReallyAnOtter

2.General info 

找主机的IP地址和主机名

ip地址:netscan

volatility -f OtterCTF.vmem --profile=Win7SP1x64 netscan

 

192.168.202.131

主机名:可以直接用hivedump

也可以:hivelist

volatility -f OtterCTF.vmem --profile=Win7SP1x64 hivelist

 

volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey  -K ControlSet001

 volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control

 

volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control\ComputerName 

 volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control\ComputerName\ComputerName

 

找到了主机名:WIN-LO6FAF3DTFE

3.play time

瑞克只是喜欢玩一些很好的老电子游戏。你知道他在玩什么游戏吗?服务器的IP地址是什么?

晕只知道思路,不知游戏。

思路,pslist查看到游戏进程,然后在netscan里找到对应ip

volatility -f OtterCTF.vmem --profile=Win7SP1x64 pslist

找到游戏名LunarMS

 volatility -f OtterCTF.vmem --profile=Win7SP1x64 netscan | findstr "LunarMS.exe"

找到IP: 77.102.119.102

4.Name Game 

我们知道该帐户登录了一个名为 Lunar-3 的频道。账户名是什么?

 把那个游戏进程提取出来

python2 vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -p 708 -D ./ 

然后用strings 看一下 

strings 708.dmp | grep "Lunar-3" -C 10

 

0tt3r8r33z3

5.Name Game2

通过一点研究,我们发现登录角色的用户名总是在这个签名之后:

0x64 0x??{6-8}0x40 0x06 0x??{18}0x 5a 0x 0 c 0x 00 {2}

瑞克的角色叫什么?格式:CTF{...}

0x64 0x??{6-8}0x40 0x06 0x??{18}0x 5a 0x 0 c 0x 00 {2}意思是16进制64后6-8位是16进制40 16进制06,再18位后是十六进制5a 十六进制0c 十六进制00

 直接把游戏进程放在010里发现了M0rtyLOL

6、Silly Rick

傻里克总是忘记他的电子邮件密码,因此他使用在线存储密码服务来存储他的密码。他总是复制粘贴密码,这样就不会弄错。rick 的电子邮件密码是什么?

复制粘贴:clipboard

volatility -f OtterCTF.vmem --profile=Win7SP1x64 clipboard

找到了:M@il_Pr0vid0rs 


7. [BMZCTF]内存取证三项

一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑也不管自己在电脑上留下的操作急忙离开电脑,故作淡定的说:“我就是随便看看”。 
1.小黑写的啥,据说是flag?

2.那么问题来了,小白的密码是啥?
3.小黑发送的机密文件里面到底是什么

1.写的啥,猜测editbox

 volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 editbox

 

2. 密码:hashdump

volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 hashdump

 

md5解密即可。

19950101

3.黑发送的机密文件里面到底是什么

在cmdscan里找到

然后直接下载这个文件

volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000002c61318 -D ./

密码是生日19950101

flag{Thi5_Is_s3cr3t!}

8.[陇剑杯]内存分析

1.网管小王制作了一个虚拟机文件,让您来分析后作答:
虚拟机的密码是_____________

volatility -f Target.vmem --profile=Win7SP1x64 lsadump 

 

flag{W31C0M3 T0 THiS 34SY F0R3NSiCX} 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/600676.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Ypay源支付6.9无授权聚合免签系统可运营源码

Ypay源支付6.9无授权聚合免签系统可运营源码 效果图说明安装说明后台 部分源码领取源码下期更新预报 效果图 YPay是一款专为个人站长设计的聚合免签系统,YPay基于高性能的ThinkPHP 6.1.2 Layui PearAdmin架构,提供了实时监控和管理的功能,让…

GhostNetV2 Enhance Cheap Operation with Long-Range Attention 论文学习

论文地址:https://arxiv.org/abs/2211.12905 代码地址:https://github.com/huawei-noah/Efficient-AI-Backbones/tree/master/ghostnetv2_pytorch 解决了什么问题? 在计算机视觉领域,深度神经网络在诸多任务上扮演着重要角色。为…

Linux —— 信号(3)

Linux —— 信号(3) Core dump为什么core默认是被关闭的阻塞信号信号其他相关常见概念信号递达信号未决信号阻塞两者的区别信号的结构 信号集操作函数一个简单使用例子sigpending的使用例子 我们今天接着来了解信号: Core dump 大家不知道有…

大模型爱好者的福音,有了它个人电脑也可以运行大模型了

GPT4ALL是一款可以运行在个人电脑上的大模型系统,不需要GPU即可运行,目前支持mac,linux和windows系统。 什么是GPT4ALL? 不论学习任何东西,首先要明白它是个什么东西。 Open-source large language models that run …

3W 1.5KVDC 3KVDC 隔离宽范围输入,单、双输出 DC/DC 电源模块——TP2L-3W 系列

TP2L-3W系列是一款高性能、超小型的电源模块,宽范围2:1,4:1输入,输出有稳压和连续短路保护功能,隔离电压为1.5KVDC、3KVDC工作温度范围为–40℃到85℃。特别适合对输出电压的精度有严格要求的地方,外部遥控功能对您的设计又多一项…

【极速前进】20240423-20240428:Phi-3、fDPO、TextSquare多模态合成数据、遵循准则而不是偏好标签、混合LoRA专家

一、Phi-3技术报告 论文地址:https://arxiv.org/pdf/2404.14219 ​ 发布了phi-3-mini,一个在3.3T token上训练的3.8B模型。在学术基准和内部测试中的效果都优于Mixtral 8*7B和GPT-3.5。此外,还发布了7B和14B模型phi-3-small和phi-3-medium。…

Transformer详解:从放弃到入门(三)

上篇文章中我们了解了多头注意力和位置编码,本文我们继续了解Transformer中剩下的其他组件。 层归一化 层归一化想要解决一个问题,这个问题在Batch Normalization的论文中有详细的描述,即深层网络中内部结点在训练过程中分布的变化问题。  …

风吸式杀虫灯解析

TH-FD2S风吸式杀虫灯是一种创新且环保的害虫控制设备,它结合了太阳能和风力的双重优势,为农业生产、园林绿化以及居民生活等提供了高效且安全的害虫防治方案。 首先,风吸式杀虫灯的工作原理是利用害虫的趋光性,通过特定的光源吸引…

AI视频教程下载:用ChatGPT做SEO的终极教程

ChatGPT是由OpenAI开发的一款尖端人工智能,它已经彻底改变了我们进行搜索引擎优化(SEO)的方式。其先进的语言处理能力使其成为增强网站内容、提高搜索引擎排名和显著提升在线可见性的宝贵工具。 这个全面的课程旨在为你提供使用ChatGPT进行SE…

突破AI迷雾:英特尔携手星环科技打造向量数据库革新方案,直降大模型幻觉

去年爆火的大模型,正在从百模大战走向千行百业落地应用。不过行业数据规模有限,企业数据隐私安全的要求等等因素,都让行业大模型的准确率面临挑战。近期发布的《CSDN AI 开发者生态报告》数据显示,“缺乏数据/数据质量问题”在大模…

ILI9341显示驱动芯片的使用

ILI9341是一种常见的TFT LCD显示驱动芯片,它在众多的应用中都有广泛的使用。这种芯片的一个显著特点是它支持16位RGB565颜色,这意味着它可以显示多达65536种不同的颜色。这使得ILI9341能够提供鲜艳、生动的色彩效果,对于需要表现丰富色彩的应…

解决Python中的 `ModuleNotFoundError: No module named ‘fcmeans‘` 错误

ModuleNotFoundError: No module named fcmeans 解决Python中的 ModuleNotFoundError: No module named fcmeans 错误如何解决这个错误fcmeans 库简介应用实例 解决Python中的 ModuleNotFoundError: No module named fcmeans 错误 在进行数据科学或机器学习项目时,…

【QA】Java常见运算符

前言 本文主要讲述Java常见的运算符 运算符的概念 两个基本概念: 运算符:对字面量或者变量进行操作的符号 表达式:用运算符把字面量或者变量连接起来符合java语法的式子就可以称为表达式 示例: int a 10; int b 20; int …

上证50etf期权到底该怎么玩?

今天期权懂带你了解上证50etf期权到底该怎么玩?ETF期权是一种股票市场上的金融衍生品,它是在交易所上市交易的期权合约,其标的资产是某个特定的交易所交易基金(ETF),如上证50指数ETF或沪深300指数ETF等。 上…

2023黑马头条.微服务项目.跟学笔记(五)

2023黑马头条.微服务项目.跟学笔记 五 延迟任务精准发布文章 1.文章定时发布2.延迟任务概述 2.1 什么是延迟任务2.2 技术对比 2.2.1 DelayQueue2.2.2 RabbitMQ实现延迟任务2.2.3 redis实现3.redis实现延迟任务4.延迟任务服务实现 4.1 搭建heima-leadnews-schedule模块4.2 数据库…

品深茶的抗癌功能是否涉及虚假宣传?

品深茶说到底,本质还是中国传统茶叶,茶叶本就是一种含有多种成分的饮品,包括茶多酚、生物碱、氨基酸、有机酸等。这些成分对人体有一定的益处,如抗氧化、抗炎、抗菌等作用。 一些研究表明,茶叶中的某些成分如茶多酚、…

以中国为目标的DinodasRAT Linux后门攻击场景复现

概述 在上一篇《以中国为目标的DinodasRAT Linux后门剖析及通信解密尝试》文章中,笔者对DinodasRAT Linux后门的功能及通信数据包进行了简单剖析,实现了对DinodasRAT Linux后门心跳数据包的解密尝试。 虽然目前可对DinodasRAT Linux后门的通信数据包进…

关于在Conda创建的虚拟环境中安装好OpenCV包后,在Pycharm中依然无法使用且import cv2时报错的问题

如果你也掉进这个坑里了,请记住opencv-python!opencv-python!!opencv-python!!! 不要贪图省事直接在Anaconda界面中自动勾选安装libopencv/opencv/py-opencv包,或者在Pycharm中的解…

FPGA学习笔记(3)——正点原子ZYNQ7000简介

1 ZYNQ-7000简介 ZYNQ 是由两个主要部分组成的:一个由双核 ARM Cortex-A9 为核心构成的处理系统(PS,Processing System),和一个等价于一片 FPGA 的可编程逻辑(PL,Programmable Logic&#xff0…

github提交不了的问题

开了VPN提交的时候提示这个报错 是需要这两个端口号一致,就能提交了