1. Toy模板网首页
  2. > Toy博客

记录一次内存取证

7月前 作者:QiaN_djx 分类:Toy博客 阅读(24) 违法举报

这篇具有很好参考价值的文章主要介绍了记录一次内存取证。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Volatility简介

Volatility是一个用于内存取证的框架工具,集成了多种模块,支持市面常见的操作系统。   下面简单浏览一下大概界面和常用模块

第一题:从内存文件中找到异常程序的进程,将进程的名称作为Flag值提交;

使用vol判断是否文件版本

        vol.exe -f gs02.raw imageinfo记录一次内存取证

选择一个系统版本,并且查看系统

        vol.exe -f gs02.raw --profile=Win2003SP1x86 pslist记录一次内存取证

         发现可疑应用test.exe记录一次内存取证

第二题:从内存文件中找到黑客将异常程序迁移后的进程编号,将迁移后的进程编号作为Flag值提交;

通过test.exe的pid 3616

查看一下网络连接,注意因为这个版本为2003所以无法使用netscan只能使用connections记录一次内存取证

 发现可疑test进程的pid 并且响应的ip地址与剩下两个进程相同,判断为迁移后的进程编号

1172      3568

第三题:从内存文件中找到受害者访问的网站恶意链接,将网站的恶意链接作为Flag值提交

        输入指令vol.exe -f gs02.raw --profile=Win2003SP1x86 iehistory

发现了Route Address地址和浏览器痕迹一样所以判断为http://192.168.44.105:8080/77sA8gJu1/QoYtjF记录一次内存取证

第四题:从内存文件中找到异常程序植入到系统的开机自启痕迹,使用Volatility工具分析出异常程序在注册表中植入的开机自启项的Virtual地址,将Virtual地址作为Flag值提交;

输入vol.exe -f gs02.raw --profile==Win2003SP1x86 hivelist记录一次内存取证

0xe171b008就是虚拟内存

0x1d73e008 \Device\HarddiskVolume1\WINDOWS\system32\config\software 

解析是否存在开机自启项:

./vol.exe -f gs02.0raw --profile==Win2003SP1x86 -o 0xe200f830 printkey记录一次内存取证

发现了Microsoft注册表,接着-K打印出来下级目录

.\volatility_2.6_win64_standalone.exe -f gs02.raw --profile=Win2003SP1x86 -o 0xe171b008 printkey -K "Microsoft"记录一次内存取证

 发现了windows注册表,接着访问windows下的注册表

.\volatility_2.6_win64_standalone.exe -f gs02.raw --profile=Win2003SP1x86 -o 0xe171b008 printkey -K "Microsoft\windows"记录一次内存取证

 发先了windows下有一个CurrentVersion接着访问下去

.\volatility_2.6_win64_standalone.exe -f gs02.raw --profile=Win2003SP1x86 -o 0xe171b008 printkey -K "Microsoft\windows\CurrentVersion"

记录一次内存取证

 这里有一个Run目录,就是开机自启的注册表访问进去

.\volatility_2.6_win64_standalone.exe -f gs02.raw --profile=Win2003SP1x86 -o 0xe171b008 printkey -K "Microsoft\windows\CurrentVersion\Run"记录一次内存取证

 发现了可疑进程test.exe设置了开机自启功能,同时可以确定了我们的虚拟地址

第五题:从内存文件中找到异常程序植入到系统的开机自启痕迹,将启动项最后一次更新的时间作为Flag值提交。(只提交年月日,例如:20210314)

.\volatility_2.6_win64_standalone.exe -f gs02.raw --profile=Win2003SP1x86 shimcache
记录一次内存取证

 2014-11-20 06:27:32 UTC+0000   \??\C:\Program Files\VMware\VMware Tools\resume-vm-default.bat,这个文件就是更改时间的文件

 2014-11-20就是答案

需要题的可以私信我,工具也是文章来源地址https://www.toymoban.com/news/detail-498296.html

到了这里,关于记录一次内存取证的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 杂记 | 记录一次使用Docker安装gitlab-ce的过程(含配置交换内存)

    杂记 | 记录一次使用Docker安装gitlab-ce的过程(含配置交换内存)

    最近想自建一个gitlab服务来保存自己的项目,于是找到gitlab-ce的方式。 开工前先梳理一下状况: 具备一台云服务器(我用的腾讯云) CentOS7的系统,已安装好了docekr和docker-compose(如果没装先自行装一下) 服务器内存为4G(这个内存有点吃紧,先凑合用) 服务不直接对外暴露

    2024年02月13日
    浏览(39)
  • 溯源取证-Linux内存取证 中难度篇

    溯源取证-Linux内存取证 中难度篇

    原谅我这么晚才出来文章,因为最近忙着录课,至于为啥没有基础篇,是因为靶场里没看见,哈哈 这个也是研究了好几个晚上才出来的东西,此处场景为linux环境下的rootkit病毒,我们通过这篇文章可以通过内存取证发现rootkit病毒相关的知识,我个人觉得还是挺实用的,比较

    2024年02月16日
    浏览(24)
  • 数字取证学习之内存取证CTF解题实例

    数字取证学习之内存取证CTF解题实例

    之前做了几道偏向取证的CTF题目,特此分享下,对于内存取证学习有一定的帮助 volatility2: 一款开源的内存取证框架工具,能够对导出的内存文件进行取证分析 Github开源地址:https://github.com/volatilityfoundation/volatility TA在KALI的低版本有自带 高版本移除了需要自己单独安装 安装

    2023年04月23日
    浏览(44)
  • OtterCTF—内存取证wp

    OtterCTF—内存取证wp

    目录 前言 一、工具说明 二、题目解析 1.What the password? 2.General Info 3.Play Time 4.Name Game 5.Name Game 2 6.Silly Rick 7.Hide And Seek 8.Path To Glory 9.Path To Glory 2 10.Bit 4 Bit 11.Graphic\\\'s For The Weak 12.Recovery 13.Closure 总结 前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后

    2024年02月08日
    浏览(27)
  • 【镜像取证篇】仿真碎片-记一次镜像仿真失败的复盘过程

    【镜像取证篇】仿真碎片-记一次镜像仿真失败的复盘过程

    这个是很久以前的一个镜像实验,当时仿真可以看到Windows的启动界面,但却一直无法正常进入系统,不断的尝试修复,都是显示错误,最后把类型改为IDE后,成功仿真进入系统—【蘇小沐】 1、无法仿真成功 实验环境 Windows建议用专业版,功能全。 系统 Windows10专业版 VMware

    2024年02月03日
    浏览(33)

  • 记一次k8s取证检材过期的恢复

    复盘盘古石k8s的时候碰到了证书过期的问题,在此记录解决方法 报错信息: 192.168.91.171:6443 was refused - did you specify the right host or port? 或 master节点运行 node节点运行 至此完事!!

    2024年04月15日
    浏览(35)
  • windows内存取证-中等难度-下篇

    windows内存取证-中等难度-下篇

    上文我们对第一台Target机器进行内存取证,今天我们继续往下学习,内存镜像请从上篇获取,这里不再进行赘述​ 攻击者执行了net use z: 10.1.1.2c$ 指令将 10.1.1.2域控制器的C盘映射到本地的Z盘,并且使用了rar压缩工具将文件存储在 crownjewlez.rar里,所以密码就在这里了 将进程

    2024年02月05日
    浏览(29)
  • OtterCTF---Memory Forensics内存取证(1-13)

    OtterCTF---Memory Forensics内存取证(1-13)

    CTF地址: OtterCTF 国产化一下: 注册一下 登录就可以 (注:因为邮箱不验证,随意搞个就可以):  第一题: 国产化:   下载OtterCTF.7z的压缩包:  是OtterCTF.vmem镜像文件 volatility介绍         Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专

    2024年02月03日
    浏览(24)
  • 电子取证之服务器取证,本人第一次从pc取证到服务器,这里有一套例题分享给大家,所有解析我都尽可能全面具体,希望与各位同仁一起学习。(二次修改)

    电子取证之服务器取证,本人第一次从pc取证到服务器,这里有一套例题分享给大家,所有解析我都尽可能全面具体,希望与各位同仁一起学习。(二次修改)

    话不多说,先上链接,这个包含一个2G的服务器镜像和题目,原题是弘连公司的,致谢,此处纯粹分享解法供大家学习。 第二次做题目,发现宝塔新版已经不支持,所以题目意义减少,还是欢迎手搓与小白来看看 链接: https://pan.baidu.com/s/1p8T7Fez_VlnSqdzvptARRw?pwd=ybww 提取码: ybww

    2024年02月07日
    浏览(41)
  • CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型

    CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型

    内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件

    2024年02月12日
    浏览(29)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包