OtterCTF—内存取证wp

这篇具有很好参考价值的文章主要介绍了OtterCTF—内存取证wp。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

前言

一、工具说明

二、题目解析

1.What the password?

2.General Info

3.Play Time

4.Name Game

5.Name Game 2

6.Silly Rick

7.Hide And Seek

8.Path To Glory

9.Path To Glory 2

10.Bit 4 Bit

11.Graphic's For The Weak

12.Recovery

13.Closure

总结



前言

前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。


一、工具说明

系统:kali,windows10

本文使用的工具有:volatility,ILSpy / IDE,HiddenTearDecrypter 


二、题目解析

1.What the password?

you got a sample of rick's PC's memory. can you get his user password? format: CTF{...}

你得到了rick电脑内存的样本。你能得到他的用户密码吗?格式:CTF{…}

我们拿到了他的电脑样本OtterCTF.vmem,使用volatility查看此镜像的信息

vol.py -f /root/Desktop/OtterCTF.vmem imageinfo

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全


 我们可以发现此镜像版本为Win7SP1x64,题目要求我们得到他的用户密码,我们指定系统版本,使用hashdump命令即可

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 hashdump

 

拿到密码,但是为哈希值,我使用kali自带解析hash的工具hash-identifier,没有成功放入chatgpt中告诉我这是MD4哈运算得到的哈希值,于是搜了一下volatility的命令,发现lsadump可以强制显示密码。

lsadump:从注册表中提取LSA密钥信息,显示加密以后的数据用户密码

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 lsadump

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 flag:CTF{MortyIsReallyAnOtter}


2.General Info

Let's start easy - whats the PC's name and IP address? format: CTF{flag}

让我们简单地开始吧——电脑的名称和IP地址是什么?格式:CTF{flag}

如何寻找本机的ip地址,直接使用netscan命令查看网络连接情况不就可以了

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 netscan

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 里面本地地址最多且有效的就只有192.168.202.131了,进行查询PC名称,用hivelist命令查询注册表。

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 hivelist

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 windows下PC名通常储存在SYSTEM下,所以通过 -o ‘ ’+printkey 查看注册表键名

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 PC名在ControlSet001和ControlSet002中都有我们这里选择查看001,通过-K ‘’ 查看键值

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 -K "ControlSet001" printkey
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 -K "ControlSet001\Control" printkey
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 -K "ControlSet001\Control\ComputerName" printkey
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 -K "ControlSet001\Control\ComputerName\ComputerName" printkey

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 flag:CTF{192.168.202.131} CTF{WIN-LO6FAF3DTFE}


3.Play Time

Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server?   format: CTF{flag}

Rick只是喜欢玩一些好的老式电子游戏。你能说出他在玩什么游戏吗?服务器的IP地址是什么?格式:CTF{flag}

题目让我们找出游戏名称和服务器的ip地址,作为flag,名称可以使用pslist命令在系统进程中找到

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 pslist

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 通过百度我们发现LunarMS.exe可能为游戏,打包成flag提交确定此就是游戏名,知道游戏名称了,查找此线索通过使用查询网络连接的netscan命令配合grep命令可查找到游戏的ip地址。

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 netscan|grep LunarMS

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 查找出此游戏的ip地址为77.102.199.102

flag:CTF{LunarMS.exe},CFT{77.102.199.102}


4.Name Game

We know that the account was logged in to a channel called Lunar-3. what is the account name?format: CTF{flag}

我们知道该帐户已登录到一个名为Lunar-3的频道。账户名称是什么?格式:CTF{flag}

题目要求我们把LunarMS游戏中Lunar-3频道的账户名称搞出来。上题我们找到了LunarMS的进程,于是我们可以先把此游戏dump下来

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

volatility中-p指向进程号(PID),memdump是转储进程的可寻址内存

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64  memdump -p 708 -D /root/Desktop/dump

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 题目提示是Lunar-3频道,于是我们可以使用winhex或者kali自带的strings命令配合grep命令进行

搜索。

strings  708.dmp | grep Lunar-3 -C 10 

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 ctf内存取证,信息安全,CTF,网络安全,安全,系统安全 最后找到的用户名为0tt3r8r33z3

flag:CTF{0tt3r8r33z3}


5.Name Game 2

From a little research we found that the username of the logged on character is always after this signature: 0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} What's rick's character's name? format: CTF{...}

通过一点研究,我们发现登录字符的用户名总是在这个签名之后:0x64 0x??{6-8}0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2}rick角色的名字是什么?格式:CTF{…}

这个题目非常有意思,让我们寻找rick角色的名字是什么?并给出了0x64 0x??{6-8}0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2}的提示。此提示的意思是16进制64后6-8位是16进制40 16进制06,再18位后是十六进制5a 十六进制0c 十六进制00.。

根据这个提示,我们可以将第四题dump下来的文件内容用grep进行筛选有十六进制5a 十六进制0c 十六进制00的片段,并往前进行确认,但这里需要用到kali自带的16进制查看器hexhump。

hexdump -C 708.dmp |grep "5a 0c 00" -A 3 -B 3

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 最后找到此片段符合题目要求。

flag:CTF{M0rtyL0L}


6.Silly Rick

Silly rick always forgets his email's password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick's email password?         format: CTF{flag}

Silly rick总是忘记电子邮件的密码,所以他使用在线存储密码服务来存储密码。他总是复制并粘贴密码,这样他就不会弄错了。rick的电子邮件密码是什么?格式:CTF{flag}

题目让我们查找电子邮箱的密码,并提示我们经常复制粘贴于是我们使用clipboard命令查看剪贴板

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 clipboard

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 直接找到flag

flag:CTF{M@il_Pr0vid0rs}


7.Hide And Seek

The reason that we took rick's PC memory dump is because there was a malware infection. Please find the malware process name (including the extension) BEAWARE! There are only 3 attempts to get the right flag!format: CTF{flag}

我们拿走rick电脑内存转储的原因是因为有恶意软件感染。请查找恶意软件进程名称(包括扩展名)注意!只有3次尝试才能获得正确的旗帜!格式:CTF{flag}

此题让我们找出恶意进程名称,我们可以使用pslist命令查询进程但太多了,有层次地看看会更好一些,于是我们使用pstree命令查看进程树。

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64  pstree

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

上来我就感觉vmware-tray.exe很不对劲,因为在我的认知中vmware一直与虚拟机有关,这个则成为了Rick And Morty的子程序,于是我提交了他发现猜对了。

具体为什么他是恶意程序,我们进行深入挖掘一下

用dlllist命令打印每个进程加载的动态链接库列表,-p指向pid

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 dlllist -p 3720

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 发现了他在Temp目录下运行,要知道Temp是windows下的临时文件夹,一般程序不会放在此文件夹中,放在此文件夹中的程序一般为恶意程序。

flag:CTF{vmware-tray.exe}


8.Path To Glory

How did the malware got to rick's PC? It must be one of rick old illegal habits...  format: CTF{...}

恶意软件是如何进入rick的电脑的?这一定是一种古老的非法习惯。。。 格式:CTF{…}

这个题我看见是很懵的,因为不知道他想要表达的是什么。于是我看了看其他大佬的wp,从恶意程序的父程序Rick And Morty开始,用filescan命令配合grep找一找这个文件

filescan 提取文件对象(file objects)池信息

vol.py -f /root/桌面/OtterCTF.vmem --profile=Win7SP1x64 filescan|grep 'Rick And Morty'

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

发现了有6个文件,3个种子文件和3个exe文件,先将种子文件dump下来,进行分析 。

dumpfiles 提取内存中映射或缓存的文件

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64  dumpfiles -Q 0x000000007d8813c0 -D /root/Desktop/dump
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64  dumpfiles -Q 0x000000007dae9350 -D /root/Desktop/dump
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64  dumpfiles -Q 0x000000007dcbf6f0 -D /root/Desktop/dump

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 再通过strings命令进行查找分析。

strings file.None.0xfffffa801af10010.dat
strings file.None.0xfffffa801b42c9e0.dat
strings file.None.0xfffffa801b51ccf0.dat

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 最终发现了flag:M3an_T0rren7_4_R!cke  但是最后的e没有不知道什么原因。

flag:CTF{M3an_T0rren7_4_R!ck}


9.Path To Glory 2

Continue the search after the way that malware got in.        format: CTF{...}

在恶意软件进入后继续搜索。格式:CTF{…}

这道题目依旧不知道干啥,没事接着翻大佬的wp。

大佬说先把所有的chrome浏览器进程转储下来,这里注意一定要建立一个目录,把chrome储存的内容都放在目录中,要不容易混乱。

查找进程,发现Rick And Morty上面是好几个chrome程序。

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 pslist

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 把chrome.exe给dump下来具体分析。

memdump 转储进程的可寻址内存

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 memdump -n chrome.exe  -D /root/Desktop/dump/chrome

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 使用strings命令配合grep命令查找Rick And Morty相关数据,这里查找的是Rick And Morty下载中相关的数据。

strings ./chrome/* | grep 'Rick And Morty season 1 download.exe' -C 10

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 最终我们找到了flag:Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in 没有Year咱也不知道为什么,在此过程中我们还发现了Flag.txt应该与后面的题目有关。

flag:CTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}


10.Bit 4 Bit

We've found out that the malware is a ransomware. Find the attacker's bitcoin address.

format: CTF{...}

我们已经发现这个恶意软件是一个勒索软件。查找攻击者的比特币地址。

格式:CTF{…}

题目告诉我们这是个勒索软件,要我们查找比特币地址,其实就是说请逆向软件,并分析。

我们先把勒索软件程序dump下来,查找此勒索软件的进程。

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 pstree

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 procdump 进程转储到一个可执行文件示例

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 procdump -p 3720 -D /root/Desktop/dump

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 然后使用ILSpy或者IDE进行反编译,这里我是用ILSpy,直接搜索address,就可发现出flag.

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 发现大佬们直接根据题目中的提示“ransomware”,就直接找出flag。(不得不说太牛了)

strings -e l /root/Desktop/OtterCTF.vmem | grep -i -A 5 "ransomware"

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 flag:CTF{1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M}


11.Graphic's For The Weak

There's something fishy in the malware's graphics.       format: CTF{...}

恶意软件的图形中有可疑之处。格式:CTF{…}

做CTF杂项做的,看见照片,直接就上手formost分离照片,而且还真被分离出来了。

foremost executable.3720.exe -o odic

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 flag:CTF{S0_Just_M0v3_Socy}


12.Recovery

Rick got to have his files recovered! What is the random password used to encrypt the files?format: CTF{...}

里克必须找回他的文件!用于加密文件的随机密码是什么? 格式:CTF{…}

题目告知是随机密码,因为生成随机密码一定是软件内部代码,,于是我就回到逆向中查找Password,最终有所发现

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 string text=computerName+" - "+userName+" - " +password

通过之前的题目我们知道了:

userName有3个分别为:Administrator  Guest  Rick  此题目与Rick And Morty有关所以

userName:Rick

computerName:WIN-LO6FAF3DTFE

string text=WIN-LO6FAF3DTFE-Rick+password

根据上面的分析,密码已经呼之欲出了,只要把恶意程序dump下来,使用grep进行关键字查找就可以了。

先查找恶意程序进程的pid

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 pslist

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 将此进程dump下来

memdump 转储进程的可寻址内存

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 memdump -p 3720 -D /root/Desktop/dump/password

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 在通过老配方strings命令配合grep命令,查找password

strings -el 3720.dmp | grep 'WIN-LO6FAF3DTFE-Rick' -C 5

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

自此,我们就找到了password:aDOBofVYUNVnmp7

flag:CTF{aDOBofVYUNVnmp7}


13.Closure

Now that you extracted the password from the memory, could you decrypt rick's files?

既然你从内存中提取了密码,你能解密rick的文件吗?

题目让我们进行解密,所以一定要有需要解密的文件和解密软件。

需要解密的文件:让我想到了第9关发现的Flag.txt

解密软件:未知

解密密码:aDOBofVYUNVnmp7

我们先把Flag.txt给dump下来,

dumpfiles 提取内存中映射或缓存的文件

strings ./chrome/* | grep 'Rick And Morty season 1 download.exe' -C 10
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 filescan|grep -i 'Flag'
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -D /root/Desktop/dump 

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 这里保存下来的文件为file.None.0xfffffa801b0532e0.dat,为了方便给他重命名为flag.dat。

 接下来找破解软件,嗯。。。没有思路。

大佬,借鉴,谢谢

好了,根据大佬的思路,查看pdb,为什么查找pdb文件,他里面有啥,我粘贴了份介绍,供大家参考。

pdb文件主要存储了如下调试信息:
(1)public, private,和static函数地址。
(2)全局变量的名称和地址。
(3)参数和局部变量的名称及它们在栈中的偏移量。
(4)类型定义,包括class, structure,和 data definitions。
(5)源文件名称和行号。
————————————————
版权声明:本文为CSDN博主「吃素的施子」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/feikudai8460/article/details/116237433

查看恶意程序中关于pdb中的内容

strings executable.3720.exe| grep pdb

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 我们看到他在hidden-tear目录下,百度一下,发现这是个勒索软件为HiddenTear,直接在网上找到解密程序HiddenTearDecrypter

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

目前

需要解密文件:flag.bat

解密软件:HiddenTearDecrypter

解密密码:aDOBofVYUNVnmp7

提前查看flag.bat

hexdump -C flag.dat

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 看见此文件后面好多0,于是我们删去(方便解密),而且把flag.bat后缀改为flag.png.locked,只有这样才能让解密软件识别到,话不多说上命令。

tr < flag.dat -d '\000' > flag2.png.locked

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 打开解密软件,点击select Directory,选择flag.png.locked放置的目录

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 输入解密密码:aDOBofVYUNVnmp7   提示解密成功

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 此时会自动将目录下的flag.png.locked转换成flag.png

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

 直接打开是打不开的,我们借助winhex工具打开,发现flag

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全

flag:CTF{Im_Th@_B3S7_RicK_0f_Th3m_4ll}


至此OtterCTF内存取证的题就搞定了

ctf内存取证,信息安全,CTF,网络安全,安全,系统安全


总结

这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。

以下是volatility工具的使用方法,可供参考。

Volatility Foundation Volatility Framework 2.6
用法: Volatility - 内存取证分析平台
 
Options:
  -h, --help            列出所有可用选项及其默认值
                        默认值可以在配置文件中设置
                        (/etc/volatilityrc)
  --conf-file=/home/kali/.volatilityrc
                        基于用户的配置文件
  -d, --debug           调试Volatility
  --plugins=PLUGINS     要使用的其他插件目录(冒号分隔)
  --info                打印所有注册对象的信息
  --cache-directory=/home/kali/.cache/volatility
                        存放缓存文件的目录
  --cache               使用缓存
  --tz=TZ               设置 (Olson) 时区以使用 pytz(如果已安装)或 tzset 显示时间戳
  -f FILENAME, --filename=FILENAME
                        打开图像时使用的文件名
  --profile=WinXPSP2x86
                        要加载的配置文件的名称(使用 --info 查看支持的配置文件列表)
  -l LOCATION, --location=LOCATION
                        从中加载地址空间的 URN 位置
  -w, --write           启用写支持
  --dtb=DTB             DTB 地址
  --shift=SHIFT         Mac KASLR 移位地址
  --output=text         以这种格式输出(支持特定于模块,请参阅下面的模块输出选项)
  --output-file=OUTPUT_FILE
                        在此文件中写入输出
  -v, --verbose         详细信息
  -g KDBG, --kdbg=KDBG  指定一个 KDBG 虚拟地址(注意:对于 64 位 Windows 8 及更高版本,这是 KdCopyDataBlock 的地址)
  --force               强制使用可疑配置文件
  -k KPCR, --kpcr=KPCR  指定特定的 KPCR 地址
  --cookie=COOKIE       指定 nt!ObHeaderCookie 的地址(仅适用于 Windows 10)
 
	支持的插件命令:
 
		amcache        	查看AmCache应用程序痕迹信息
		apihooks       	检测内核及进程的内存空间中的API hook
		atoms          	列出会话及窗口站atom表
		atomscan       	Atom表的池扫描(Pool scanner)
		auditpol       	列出注册表HKLMSECURITYPolicyPolAdtEv的审计策略信息
		bigpools       	使用BigPagePoolScanner转储大分页池(big page pools)
		bioskbd        	从实时模式内存中读取键盘缓冲数据(早期电脑可以读取出BIOS开机密码)
		cachedump      	获取内存中缓存的域帐号的密码哈希
		callbacks      	打印全系统通知例程
		clipboard      	提取Windows剪贴板中的内容
		cmdline        	显示进程命令行参数
		cmdscan        	提取执行的命令行历史记录(扫描_COMMAND_HISTORY信息)
		connections    	打印系统打开的网络连接(仅支持Windows XP 和2003)
		connscan       	打印TCP连接信息
		consoles       	提取执行的命令行历史记录(扫描_CONSOLE_INFORMATION信息)
		crashinfo      	提取崩溃转储信息
		deskscan       	tagDESKTOP池扫描(Poolscaner)
		devicetree     	显示设备树信息
		dlldump        	从进程地址空间转储动态链接库
		dlllist        	打印每个进程加载的动态链接库列表
		driverirp      	IRP hook驱动检测
		drivermodule   	关联驱动对象至内核模块
		driverscan     	驱动对象池扫描
		dumpcerts      	提取RAS私钥及SSL公钥
		dumpfiles      	提取内存中映射或缓存的文件
		dumpregistry   	转储内存中注册表信息至磁盘
		editbox        	查看Edit编辑控件信息 (Listbox正在实验中)
		envars         	显示进程的环境变量
		eventhooks     	打印Windows事件hook详细信息
		evtlogs        	提取Windows事件日志(仅支持XP/2003)
		filescan       	提取文件对象(file objects)池信息
		gahti          	转储用户句柄(handle)类型信息
		gditimers      	打印已安装的GDI计时器(timers)及回调(callbacks)
		gdt            	显示全局描述符表(Global Deor Table)
		getservicesids 	获取注册表中的服务名称并返回SID信息
		getsids        	打印每个进程的SID信息
		handles        	打印每个进程打开的句柄的列表
		hashdump       	转储内存中的Windows帐户密码哈希(LM/NTLM)
		hibinfo        	转储休眠文件信息
		hivedump       	打印注册表配置单元信息
		hivelist       	打印注册表配置单元列表
		hivescan       	注册表配置单元池扫描
		hpakextract    	从HPAK文件(Fast Dump格式)提取物理内存数据
		hpakinfo       	查看HPAK文件属性及相关信息
		idt            	显示中断描述符表(Interrupt Deor Table)
		iehistory      	重建IE缓存及访问历史记录
		imagecopy      	将物理地址空间导出原生DD镜像文件
		imageinfo      	查看/识别镜像信息
		impscan        	扫描对导入函数的调用
		joblinks       	打印进程任务链接信息
		kdbgscan       	搜索和转储潜在KDBG值
		kpcrscan       	搜索和转储潜在KPCR值
		ldrmodules     	检测未链接的动态链接DLL
		lsadump        	从注册表中提取LSA密钥信息(已解密)
		machoinfo      	转储Mach-O 文件格式信息
		malfind        	查找隐藏的和插入的代码
		mbrparser      	扫描并解析潜在的主引导记录(MBR)
		memdump        	转储进程的可寻址内存
		memmap         	打印内存映射
		messagehooks   	桌面和窗口消息钩子的线程列表
		mftparser      	扫描并解析潜在的MFT条目
		moddump        	转储内核驱动程序到可执行文件的示例
		modscan        	内核模块池扫描
		modules        	打印加载模块的列表
		multiscan      	批量扫描各种对象
		mutantscan     	对互斥对象池扫描
		notepad        	查看记事本当前显示的文本
		objtypescan    	扫描窗口对象类型对象
		patcher        	基于页面扫描的补丁程序内存
		poolpeek       	可配置的池扫描器插件
		printkey       	打印注册表项及其子项和值
		privs          	显示进程权限
		procdump       	进程转储到一个可执行文件示例
		pslist         	按照EPROCESS列表打印所有正在运行的进程
		psscan         	进程对象池扫描
		pstree         	以树型方式打印进程列表
		psxview        	查找带有隐藏进程的所有进程列表
		qemuinfo       	转储 Qemu 信息
		raw2dmp        	将物理内存原生数据转换为windbg崩溃转储格式
		screenshot     	基于GDI Windows的虚拟屏幕截图保存
		servicediff    	Windows服务列表(ala Plugx)
		sessions       	_MM_SESSION_SPACE的详细信息列表(用户登录会话)
		shellbags      	打印Shellbags信息
		shimcache      	解析应用程序兼容性Shim缓存注册表项
		shutdowntime   	从内存中的注册表信息获取机器关机时间
		sockets        	打印已打开套接字列表
		sockscan       	TCP套接字对象池扫描
		ssdt           	显示SSDT条目
		strings        	物理到虚拟地址的偏移匹配(需要一些时间,带详细信息)
		svcscan        	Windows服务列表扫描
		symlinkscan    	符号链接对象池扫描
		thrdscan       	线程对象池扫描
		threads        	调查_ETHREAD 和_KTHREADs
		timeliner      	创建内存中的各种痕迹信息的时间线
		timers         	打印内核计时器及关联模块的DPC
		truecryptmaster	Recover 	恢复TrueCrypt 7.1a主密钥
		truecryptpassphrase		查找并提取TrueCrypt密码
		truecryptsummary	TrueCrypt摘要信息
		unloadedmodules	打印卸载的模块信息列表
		userassist     	打印注册表中UserAssist相关信息
		userhandles    	转储用户句柄表
		vaddump        	转储VAD数据为文件
		vadinfo        	转储VAD信息
		vadtree        	以树形方式显示VAD树信息
		vadwalk        	显示遍历VAD树
		vboxinfo       	转储Virtualbox信息(虚拟机)
		verinfo        	打印PE镜像中的版本信息
		vmwareinfo     	转储VMware VMSS/VMSN 信息
		volshell       	内存镜像中的shell
		windows        	打印桌面窗口(详细信息)
		wintree        	Z顺序打印桌面窗口树
		wndscan        	池扫描窗口站
		yarascan       	以Yara签名扫描进程或内核内存

第一次记录长篇的做题思路,写的不是很好,请多多包涵。文章来源地址https://www.toymoban.com/news/detail-720825.html

到了这里,关于OtterCTF—内存取证wp的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型

    内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件

    2024年02月12日
    浏览(50)
  • 网络安全应急响应工具之-流量安全取证NetworkMiner

    在前面的一些文章中,用了很多的章节介绍流量分析和捕获工具wireshark。Wireshark是一款通用的网络协议分析工具,非常强大,关于wireshark的更多介绍,请关注专栏,wireshark从入门到精通。本文将介绍一个专注于网络流量取证的工具NetworkMiner,其视角和wireshark是不同的。 Netwo

    2024年02月03日
    浏览(51)
  • 网络安全运维-数字取证篇

    Volatility使用 使用工具: Autopsy 、 Volatility 、 Wireshark 这部分可分为数据分析与取证、内存取证两块内容 wireshark基本操作 过滤器使用 ip.src == x.x.x.x 选择源ip为x.x.x.x的数据包 tcp.port == xx 选择源或目标端口为xx的TCP 数据包 http contains XXX 选择内容含有XXX的http数据包 使用现有数据

    2024年02月09日
    浏览(46)
  • 网络安全、夺旗赛(CTF)技能汇总_ctf夺旗赛

    本文综合博主参赛准备经历,总结介绍了过程中了解的网络安全、夺旗赛(CTF)相关知识及资源,分为资料篇、工具篇、解题思路篇。 资料篇 CTF Wiki 对CTF整体介绍,各个方向的介绍,有例题,入门必备。 CTF工具集合 集成了工具资源,方便下载。 如果你对网络安全入门感兴

    2024年02月07日
    浏览(51)
  • 广东省第三届职业技能大赛“网络安全项目”B模块--数字取证解析

    PS: 关注鱼影安全 模块 B 竞赛项目试题 本文件为:广东省第三届职业技能大赛网络安全项目试题-模块 B 本次比赛时间为 4 个小时。 介绍 竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引! (1)当竞赛结束,离开时请不要关机; (

    2024年01月19日
    浏览(63)
  • 网络安全CTF工具合集

    各种在线工具以及工具整合 CTF资源库|CTF工具下载|CTF工具包|CTF工具集合 逆向工程: GDB – http://www.gnu.org/software/gdb/download/ IDA Pro – Download center Immunity Debugger – http://debugger.immunityinc.com/ OllyDbg – OllyDbg v1.10 radare2 – radare Hopper – Hopper - Download nm – unix/linux tool objdump – lin

    2024年02月06日
    浏览(49)
  • CTF网络安全大赛详情

    网络安全已成为现代社会的一个关键挑战,随着互联网技术的飞速发展,从个人隐私保护到国家安全,网络安全的重要性日益突显。为了应对这一挑战,CTF(Capture The Flag,中文:夺旗赛)应运而生,成为全球网络安全领域中一种非常流行的信息安全竞赛形式。 CTF赛事起源与

    2024年04月26日
    浏览(92)
  • CTF网络安全大赛介绍

    CTF竞赛模式分为以下三类: 一、解题模式(Jeopardy)在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏

    2024年02月13日
    浏览(48)
  • 网络安全CTF比赛有哪些事?——《CTF那些事儿》告诉你

    目录 前言 一、内容简介 二、读者对象  三、专家推荐  四、全书目录   CTF比赛是快速提升网络安全实战技能的重要途径,已成为各个行业选拔网络安全人才的通用方法。但是,本书作者在从事CTF培训的过程中,发现存在几个突出的问题: 1)线下CTF比赛培训中存在严重的

    2024年02月08日
    浏览(51)
  • (蓝宝书)网络安全——CTF那些事儿

    欢迎关注博主 Mindtechnist 或加入【智能科技社区】一起学习和分享Linux、C、C++、Python、Matlab,机器人运动控制、多机器人协作,智能优化算法,滤波估计、多传感器信息融合,机器学习,人工智能等相关领域的知识和技术。关注公粽号 《机器和智能》 回复 “python项目

    2024年02月08日
    浏览(93)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包