CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型

这篇具有很好参考价值的文章主要介绍了CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

前言

内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件

工具安装

python与pip安装方法

首先就是安装python和pip,在kali和一些linux发行版上,python都是自带的,python和pip安装方法如下:

sudo apt-get update  #更新源
sudo apt-get install python2   #安装python2
sudo apt-get install python-pip2   #安装pip2

下载和安装Volatility

Volatility是一款开源的内存分析框架,主要用于从计算机内存中提取数字证据。它可以用于取证、恶意代码分析、漏洞研究、操作系统学习以及其他安全领域

Volatility项目地址:

https://github.com/volatilityfoundation/volatility

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

如果你在国外的话,可以直接运行这个命令来获取Volatility项目,在国内用这个命令的话,下载非常慢

apt install git
git clone https://github.com/volatilityfoundation/volatility.git

从压缩包里提取文件

unzip [file_name] -d [destination]  #filename:你要提取的压缩包名称,destination:提取后的文件存放位置

进入文件夹,运行以下命令即可安装

python2 setup.py install

依赖安装

如果不安装依赖,Volatility很多功能都用不了

pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple
pip2 install yara -i https://pypi.tuna.tsinghua.edu.cn/simple
pip2 install distorm3 -i https://pypi.tuna.tsinghua.edu.cn/simple

如果distorm3安装失败的话,只能手动去安装了

项目地址:

https://github.com/vext01/distorm3

下载解压后进入文件夹,运行以下命令即可

chmod 777 setup.py
python2 setup.py install

mimikatz脚本文件下载地址

链接:https://pan.baidu.com/s/1HS65N4UXfuzChB9UU9vveA 
提取码:fywk 

然后将这个脚本文件移动到/volatility/plugins目录下

mv mimkatz.py /volatility/plugins/

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

然后安装construct库

sudo pip2 install construct==2.5.5-reupload

演示题目的下载地址

本片文章使用的案例:

链接:https://pan.baidu.com/s/1nD-svI98v3yQPPKT0HyEjg 
提取码:0dnx 

工具的使用方法

获取内存镜像详细信息

imageinfo是Volatility中用于获取内存镜像信息的命令。它可以用于确定内存镜像的操作系统类型、版本、架构等信息,以及确定应该使用哪个插件进行内存分析

python2 vol.py -f Challenge.raw imageinfo  #f:指定分析的内存镜像文件名

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

上述输出中,Suggested Profile(s) 显示了 Volatility 推荐的几个内存镜像分析配置文件,可以根据这些配置文件来选择合适的插件进行内存分析
AS Layer2 显示了使用的内存镜像文件路径
KDBG 显示了内存镜像中的 KDBG 结构地址
Number of Processors 显示了处理器数量
Image Type 显示了操作系统服务包版本
Image date and time 显示了内存镜像文件的创建日期和时间

获取正在运行的程序

这里我们用Win7SP1x64配置文件进行分析,Volatility 的 pslist 插件可以遍历内存镜像中的进程列表,显示每个进程的进程 ID、名称、父进程 ID、创建时间、退出时间和路径等信息

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 pslist

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

提取正在运行的程序

Volatility 的 procdump 插件可以根据进程 ID 或进程名称提取进程的内存映像,并保存为一个单独的文件

比如这里我要提取iexplore.exe这个程序

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

他的进程pid号为2728

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 procdump -p 2728 -D ./
p:pid进程号
D:提取程序后保存的地址,./指的是当前shell正在运行的文件夹地址,输入pwd命令可以查看shell当前的地址,简单来说就是保存到当前文件夹

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

成功导出,导出后文件名为executable.2728.exe

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

查看在终端里执行过的命令

Volatility 的 cmdscan 插件可以扫描内存镜像中的进程对象,提取已执行的 cmd 命令,并将其显示在终端中

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 cmdscan

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

他移动到了Documents目录下,echo了一次字符串,然后创建了一个名为hint.txt的文件

查看进程在终端里运行的命令

Volatility中的cmdline插件可以用于提取进程执行的命令行参数和参数值

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 cmdline

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

查找内存中的文件

Volatility 的 filescan插件可以在内存中搜索已经打开的文件句柄,从而获取文件名、路径、文件大小等信息

我想找到hint.txt文件,可以使用以下命令

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 filescan | grep hint.txt

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

grep是Linux下常用的命令之一,它用于在文件中查找指定的字符串,并将包含该字符串的行输出

如果只使用filescan而不配合grep的话,Volatility就会输出系统上的全部文件,例如:

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

提取内存中的文件

Volatility的dumpfiles插件可以用来提取系统内存中的文件

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

这里我要提取hint.txt文件,hint.txt的内存位置为0x000000011fd0ca70,这两个由于位置都一样,随便提取哪个都行

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000011fd0ca70 -D ./
Q:内存位置
D:提取程序后保存的地址,./指的是当前shell正在运行的文件夹地址,输入pwd命令可以查看shell当前的地址,简单来说就是保存到当前文件夹

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

提取出来的文件名是包含内存地址的,更改一下后缀名即可运行

查看浏览器历史记录

Volatility中的iehistory插件可以用于提取Internet Explorer浏览器历史记录

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 iehistory

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

提取用户密码hash值并爆破

Volatility中的Hashdump插件可以用于提取系统内存中的密码哈希值

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 hashdump

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

这里提取了四个用户的密码hash值,我们将这些字符串复制一下,粘贴到本地本文里

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

我们可以使用这个在线网站:

https://crackstation.net/

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

将hash值粘贴上去

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

就可以得到用户密码明文

使用mimikatz提取密码

mimikatz是一个开源的用于从Windows操作系统中提取明文密码,哈希值以及其他安全凭据的工具

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 mimikatz

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

成功提取到TroubleMaker用户的密码

查看剪切板里的内容

Volatility中的clipboard插件可以用于从内存转储中提取剪贴板数据

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 clipboard

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

查看正在运行的服务

svcscan是Volatility中的一个插件,用于扫描进程中所有的服务

svcscan

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

执行了svcscan之后,每列代表服务的一些信息,包括服务名、PID、服务状态、服务类型、路径等等

查看网络连接状态

Volatility中的netscan插件可以在内存转储中查找打开的网络连接和套接字,该命令将显示所有当前打开的网络连接和套接字。输出包括本地和远程地址、端口、进程ID和进程名称等信息

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 netscan

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

查看注册表信息

printkey是Volatility工具中用于查看注册表的插件之一。它可以帮助分析人员查看和解析注册表中的键值,并提供有关键值的详细信息,如名称、数据类型、大小和值等

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 printkey

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

然后使用hivelist插件来确定注册表的地址

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 hivelist

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

查看注册表software项

hivedump是一个Volatility插件,用于从内存中提取Windows注册表的内容,这里我们选择第一个来演示

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 hivedump -o 0xfffff8a00127d010
o:hivelist列出的Virtual值

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

根据名称查看具体子项的内容,这里以SAM\Domains\Account\Users\Names做演示,这个是Windows系统中存储本地用户账户信息的注册表路径,它包含了每个本地用户账户的名称和对应的SID信息

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"

CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型,杂项,ctf,内存取证,网络安全,取证,misc

如果要提取全部的注册表,可以用这个命令

python2 vol.py -f Challenge.raw --profile=Win7SP1x64 dumpregistry -D ./

全部插件

amcache        	查看AmCache应用程序痕迹信息
apihooks       	检测内核及进程的内存空间中的API hook
atoms          	列出会话及窗口站atom表
atomscan       	Atom表的池扫描(Pool scanner)
auditpol       	列出注册表HKLMSECURITYPolicyPolAdtEv的审计策略信息
bigpools       	使用BigPagePoolScanner转储大分页池(big page pools)
bioskbd        	从实时模式内存中读取键盘缓冲数据(早期电脑可以读取出BIOS开机密码)
cachedump      	获取内存中缓存的域帐号的密码哈希
callbacks      	打印全系统通知例程
clipboard      	提取Windows剪贴板中的内容
cmdline        	显示进程命令行参数
cmdscan        	提取执行的命令行历史记录(扫描_COMMAND_HISTORY信息)
connections    	打印系统打开的网络连接(仅支持Windows XP 和2003)
connscan       	打印TCP连接信息
consoles       	提取执行的命令行历史记录(扫描_CONSOLE_INFORMATION信息)
crashinfo      	提取崩溃转储信息
deskscan       	tagDESKTOP池扫描(Poolscaner)
devicetree     	显示设备树信息
dlldump        	从进程地址空间转储动态链接库
dlllist        	打印每个进程加载的动态链接库列表
driverirp      	IRP hook驱动检测
drivermodule   	关联驱动对象至内核模块
driverscan     	驱动对象池扫描
dumpcerts      	提取RAS私钥及SSL公钥
dumpfiles      	提取内存中映射或缓存的文件
dumpregistry   	转储内存中注册表信息至磁盘
editbox        	查看Edit编辑控件信息 (Listbox正在实验中)
envars         	显示进程的环境变量
eventhooks     	打印Windows事件hook详细信息
evtlogs        	提取Windows事件日志(仅支持XP/2003)
filescan       	提取文件对象(file objects)池信息
gahti          	转储用户句柄(handle)类型信息
gditimers      	打印已安装的GDI计时器(timers)及回调(callbacks)
gdt            	显示全局描述符表(Global Deor Table)
getservicesids 	获取注册表中的服务名称并返回SID信息
getsids        	打印每个进程的SID信息
handles        	打印每个进程打开的句柄的列表
hashdump       	转储内存中的Windows帐户密码哈希(LM/NTLM)
hibinfo        	转储休眠文件信息
hivedump       	打印注册表配置单元信息
hivelist       	打印注册表配置单元列表
hivescan       	注册表配置单元池扫描
hpakextract    	从HPAK文件(Fast Dump格式)提取物理内存数据
hpakinfo       	查看HPAK文件属性及相关信息
idt            	显示中断描述符表(Interrupt Deor Table)
iehistory      	重建IE缓存及访问历史记录
imagecopy      	将物理地址空间导出原生DD镜像文件
imageinfo      	查看/识别镜像信息
impscan        	扫描对导入函数的调用
joblinks       	打印进程任务链接信息
kdbgscan       	搜索和转储潜在KDBG值
kpcrscan       	搜索和转储潜在KPCR值
ldrmodules     	检测未链接的动态链接DLL
lsadump        	从注册表中提取LSA密钥信息(已解密)
machoinfo      	转储Mach-O 文件格式信息
malfind        	查找隐藏的和插入的代码
mbrparser      	扫描并解析潜在的主引导记录(MBR)
memdump        	转储进程的可寻址内存
memmap         	打印内存映射
messagehooks   	桌面和窗口消息钩子的线程列表
mftparser      	扫描并解析潜在的MFT条目
moddump        	转储内核驱动程序到可执行文件的示例
modscan        	内核模块池扫描
modules        	打印加载模块的列表
multiscan      	批量扫描各种对象
mutantscan     	对互斥对象池扫描
notepad        	查看记事本当前显示的文本
objtypescan    	扫描窗口对象类型对象
patcher        	基于页面扫描的补丁程序内存
poolpeek       	可配置的池扫描器插件
printkey       	打印注册表项及其子项和值
privs          	显示进程权限
procdump       	进程转储到一个可执行文件示例
pslist         	按照EPROCESS列表打印所有正在运行的进程
psscan         	进程对象池扫描
pstree         	以树型方式打印进程列表
psxview        	查找带有隐藏进程的所有进程列表
qemuinfo       	转储 Qemu 信息
raw2dmp        	将物理内存原生数据转换为windbg崩溃转储格式
screenshot     	基于GDI Windows的虚拟屏幕截图保存
servicediff    	Windows服务列表(ala Plugx)
sessions       	_MM_SESSION_SPACE的详细信息列表(用户登录会话)
shellbags      	打印Shellbags信息
shimcache      	解析应用程序兼容性Shim缓存注册表项
shutdowntime   	从内存中的注册表信息获取机器关机时间
sockets        	打印已打开套接字列表
sockscan       	TCP套接字对象池扫描
ssdt           	显示SSDT条目
strings        	物理到虚拟地址的偏移匹配(需要一些时间,带详细信息)
svcscan        	Windows服务列表扫描
symlinkscan    	符号链接对象池扫描
thrdscan       	线程对象池扫描
threads        	调查_ETHREAD 和_KTHREADs
timeliner      	创建内存中的各种痕迹信息的时间线
timers         	打印内核计时器及关联模块的DPC
truecryptmaster	Recover 	恢复TrueCrypt 7.1a主密钥
truecryptpassphrase		查找并提取TrueCrypt密码
truecryptsummary	TrueCrypt摘要信息
unloadedmodules	打印卸载的模块信息列表
userassist     	打印注册表中UserAssist相关信息
userhandles    	转储用户句柄表
vaddump        	转储VAD数据为文件
vadinfo        	转储VAD信息
vadtree        	以树形方式显示VAD树信息
vadwalk        	显示遍历VAD树
vboxinfo       	转储Virtualbox信息(虚拟机)
verinfo        	打印PE镜像中的版本信息
vmwareinfo     	转储VMware VMSS/VMSN 信息
volshell       	内存镜像中的shell
windows        	打印桌面窗口(详细信息)
wintree        	Z顺序打印桌面窗口树
wndscan        	池扫描窗口站
yarascan       	以Yara签名扫描进程或内核内存

总结

本篇文章演示的插件已经可以做绝大部分题目了,之后就多在buuctf或者ctfshow等线上ctf平台刷题,积累经验文章来源地址https://www.toymoban.com/news/detail-650960.html

到了这里,关于CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • CTF之MISC题目-简单流量

    第一篇 CTF之密码学题目-classical coding 第二篇 CTF之MISC题目-西游记 第三篇 CTF之MISC题目-简单流量 这是一道关于网络数据包分析的题目,主要是wireshark工具的使用和发现代码、理解代码。同时要了解Linux 的 Shell脚本。 可以发现是一个流量包数据(.pcapng后缀,可以用wireshark打开

    2023年04月25日
    浏览(37)
  • CTF misc 0宽度字节隐写

    题目来源:HNCTF[WEEK2]Matryoshka(NSSCTF平台)  1,题目打开是这样的一个压缩包和pass.txt 压缩包很明显是需要密码的。在压缩包外部给文件一般不考虑伪加密。 2,打开txt文件。 3, 在记事本里面瞎点一下。 可以发现列数是不对的,这时候想到了0宽度字节隐写。 4,打开0宽度字节

    2024年02月08日
    浏览(47)
  • CTF-Misc 文件类型 详细解

    初次接触CTF的Misc方向,在这里详细记录一下。 1.准备工具: CTFtools CTFCracktools 010 editor 2.题目准备 攻防世界下载附件,如图。解压得到cipher.txt。  然后记事本打开: 看到出现了A-F的字符,初步判定是十六进制,即hex文件。 复制,使用CTFtools,常见解码-Hex-str:  得到result处的

    2023年04月08日
    浏览(35)
  • [青少年CTF]-MISC WP(二)

    16)17insanity FLAG:INSA{Youre_crazy_I_like_it} 17)17sanity FLAG:INSA{Youre_sane_Good_for_you} 18)原sher FLAG:qsnctf{c1f5e391-83dd-47e3-9f15-0e32eaafdc95} 19)签到 20)八卦迷宫 FlAG:cazy{zhanchangyangchangzhanyanghechangshanshananzhanyiyizhanyianyichanganyang} 21)我看他是喜欢套娃! 摩斯电码在线转换 培根密码在线加解

    2024年02月14日
    浏览(44)
  • 入坑CTF的第一篇CRC32爆破【MISC】

    最近遇到一道CTF的一道题,大意是: 一个被压缩的Zip压缩包,在无法使用加密口令解压的情况下,如何获取其中文本文件的内容。 思路:对于文件大小6B的文件,可以利用CRC32的校验值,爆破文本内容。 我自己做了一个压缩包,没有使用密码加密,测试一下(以4字节的文件

    2024年02月12日
    浏览(42)
  • 2023蓝帽杯半决赛电子取证+CTF部分题解

    非预期 先将data.xlsx中到的每一列都按照大小排序 之后将加粗的字体的背景颜色改为黑色

    2024年02月07日
    浏览(39)
  • 安全清理大部分的C盘内存(一般10GB以上)

     如果感觉有用请 关注,点赞,收藏!  下次分享更有用的干货~ 欢迎转载,请注明出处! 用360清理发现, windows search日志 占用了70多个G空间,先清除!    该日志文件有撒用呢?  如果没有这个日志文件,我们在文件系统进行搜索的时候就会比较慢了,而且还会出现这样的

    2023年04月15日
    浏览(52)
  • 【CTF-MISC-1】 Word隐写&零宽字符隐写

    Word中的隐写 1.1 利用Word文本功能进行隐藏 1.1.1 文字效果-隐藏 选中Word中想要隐藏的文字,依次点击“鼠标右键=文字”,在文字效果一栏中选中隐藏,那么选中的文字就被隐藏了,而在默认情况下被隐藏的内容是会被显示的。 如果想要查看被隐藏的内容,则需要依次点击“文

    2024年02月01日
    浏览(37)
  • CTF攻防世界 Misc高手进阶区 6分题 Wireshark(详细解析)

    目录 题目链接: 题目解析: 获得flag: 得到一个流量包,打开看得眼花,先关注http 一个个追踪,先看到一个网站 tools.jb51.net/aideddesign/img_add_info 打开之后发现是一个图片加密解密的网站,  导出全部http对象,保存出来。  全部导出之后,发现一个png格式的风景照,和两个较

    2024年02月09日
    浏览(36)
  • 2023寒鹭Tron-CTF迎新赛 CRYPTO Misc 全WP

    1、题目信息 2、解题方法 兔子密码,在线工具直接解 1、题目信息 2、解题方法 flag有三部分 第一部分:BrainFuck解码 第二部分:ook! 第三部分:UUencode解码 1、题目信息 2、解题方法 像摩斯,但不是摩斯,是摩斯的变形。。。 把 . 换成 0 , / 换成 1,二进制解码: 最后把flag换

    2024年02月08日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包