数字取证学习之内存取证CTF解题实例-Toy模板网

这篇具有很好参考价值的文章主要介绍了数字取证学习之内存取证CTF解题实例。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

之前做了几道偏向取证的CTF题目，特此分享下，对于内存取证学习有一定的帮助

用到的工具

volatility2：
一款开源的内存取证框架工具，能够对导出的内存文件进行取证分析
Github开源地址：https://github.com/volatilityfoundation/volatility
TA在KALI的低版本有自带高版本移除了需要自己单独安装
安装方面就不作过多描述官网或者是GitHub下载了就能用。

陇剑杯_内存取证

题目信息：

网管小王制作了一个虚拟机文件，让您来分析后作答：
1.虚拟机的密码是：密码中为flag，含有空格，提交时不要去掉。
难度情况：简单-到中等之间。

题目给的是一个内存文件，因此需要对内存文件分析来取得它的密码
volatility2来进行内存文件的取证需要先指定它的系统所以说需要先检测下系统内核

vol.py -f 内存文件 imageinfo

数字取证学习之内存取证CTF解题实例
在Profile(s) 处得知了系统内核为Win7SP1x64 ，接下来就可以使用–profile 内核版本来进行下一步操作
了，题目的要求是获取虚拟机的密码，最简单的方式是用vol的mimikatz插件来直接获取系统的明文密码
（ps：这个插件需要另外安装可以参考下这位博主的文章：https://blog.csdn.net/weixin_45485719/article/details/
107837269）

vol.py -f 镜像名称 --profile 镜像的系统内核 mimikatz（获取明文密码的插件）

数字取证学习之内存取证CTF解题实例
可以看到获取到了系统的登录明文密码，也就正是我们的flag。

2021 天翼杯Browser

题目信息：

1.默认浏览器（请给出注册表中可证明它是默认浏览器的对应的值，如：IE.HTTP）
2.默认浏览器版本（如：11.0.9600.18978）
3.默认浏览器汇总用户浏览次数最多的URL（如：https://www.bilibili.com/）拼接如下（例如）： IE.HTTP_11.0.9600.18978_https://www.bilibili.com/)

拿到题目是一个内存文件根据题目信息：我们需要先获取它的默认浏览器（这个需要在注册表中寻找）
还是先获取下它的系统内核版本

vol.py -f 内存镜像 imageinfo

数字取证学习之内存取证CTF解题实例
获取到了镜像的内核版本： Win7SP1x86，根据题目要求先要获取它的默认浏览器，我们先在进程中扫描一下.

vol.py -f 内存镜像 --profile Win7SP1x86（系统内核） pslist（查看进程）

数字取证学习之内存取证CTF解题实例
一共发现有火狐谷歌 edge浏览器的进程但是题目要的是默认浏览器版本，所以说需要深入注册表挖
掘，我在网络上查阅到Windows系统注册表存储默认浏览器的位置是：
（参考链接：
https://stackoverflow.com/questions/32354861/how-to-find-the-default-browser-via-the-registry-on-windows-10）

`HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shell\Associations\URLAssociations\
(http|https)\UserChoice`
"SOFTWARE\Microsoft\Windows\Shell\Associations\URLAssociations\http\UserChoice"
"SOFTWARE\Microsoft\Windows\Shell\Associations\URLAssociations\https\UserChoice"
Windows 注册表关于默认浏览器的位置的位置

因此我们可以 printkey 指定注册表来直接输出注册表的值

vol.py -f 内存镜像 --profile=Win7SP1x86（系统内核版本） printkey -K "指定的注册表位置"

数字取证学习之内存取证CTF解题实例
这时候得知了默认浏览器是： MSEdgeHTM也就是edge浏览器，然后我们根据题目要求获取它的版本号
直接通过filescan来扫描内存中的文件，直接搜索grep来获取它的相关版本

vol.py-f 内存文件 --profile=系统类型 filescan |grep "内容"
注意：如果你是在Windows下使用那么默认是没有grep命令的可以使用findstr来代替

数字取证学习之内存取证CTF解题实例
显示的东西太多了复制到记事本查看

数字取证学习之内存取证CTF解题实例
找到了版本号：92.0.902.78
接下来根据题目要求来获取它的历史记录，命令跟上次的一样，这次搜索History（历史文件）

vol.py-f 内存文件 --profile=系统类型 filescan |grep "内容"
注意：如果你是在Windows下使用那么默认是没有grep命令的可以使用findstr来代替

数字取证学习之内存取证CTF解题实例
复制到记事本筛选edge浏览器

得知了edge历史记录文件的地址：0x000000007da2abf0
可以使用 dumpfiles 来导出来进行查看

vol.py -f 内存文件 --profile=系统类型 dumpfiles -Q 数值 -D 文件夹名/

数字取证学习之内存取证CTF解题实例
成功保存2个文件。

这个可以通过数据库浏览器DB Browser 来进行查看，用它打开里面的dat文件浏览数据。

最后得到访问次数最多的url是;https://weibo.com/login.php文章来源地址https://www.toymoban.com/news/detail-422192.html