金砖技能大赛-应急响应-内存镜像分析-进程分析

这篇具有很好参考价值的文章主要介绍了金砖技能大赛-应急响应-内存镜像分析-进程分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

背景:作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。 应急响应阶段题目主要包含:Windows 内存镜像分析,Linux 内存镜像分析, 磁盘文件恢复,恶意程序分析等内容。

项目 1. 内存镜像分析

任务一 Windows 内存镜像分析 

你作为 A 公司的应急响应人员,请分析提供的内存文件按照下面的要求找到 相关关键信息,完成应急响应事件。

1、从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);   

//列举用户及密码
//volatility -f 1.vmem --profile=Win7SP1x86 printkey -K"SAM\Domains\Account\Users\Names"
//从内存中获取密码哈希
//volatility -f 1.vmem  --profile=Win7SP1x86 hivelist 
//从内存中获取密码哈希
volatility -f 1.vmem  --profile=Win7SP1x86 hashdump  (可以跟-f 也可以跟sam system的进程)
//尝试利用网站解密 解不开
md5:29fb61bd2963b1975cf435a2565af910
mimikatz插件也可以
使用自带的工具
volatility -f 1.vmem --profile=Win7SP1x64 lsadump 
分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全
得到md5   406990ff88f13dac3c9debbc0769588c 这个也是答案 分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

flag{admin.dfsddew}

2、获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;

volatility -f 1.vmem --profile=Win7SP1x64 hivelist 查看注册表 

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"  

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

 答案  WIN-9FBAEH4UV8C
volatility -f 1.vmem --profile=Win7SP1x64 netscan     (获取IP地址)
分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

答案 192.168.85.129

        flag{192.168.85.129:WIN-9FBAEH4UV8C}

3、获取当前系统浏览器搜索过的关键词,作为 Flag 提交;

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 iehistory

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

 flag{admin@file:///C:/Users/admin/Desktop/flag.txt}

4、当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 netscan 

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

 flag{54.36.109.161:2222}

5、恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。

上题已经看到进程

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 pslist -p 2588

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

再查看服务
volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 svcscan

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

 flag{VMnetDHCP}

参考

内存取证-volatility工具的使用_baynk的博客-CSDN博客_volatility工具

一篇适用于本人电脑的kali机volatility取证教程

内存-进程取证

前期知识:

pslist显示进程        cmdscan显示cmd历史命令

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

memdump -p 332 -D XX/ 提取进程   -p 进程号 -D 当前输出路径(导出为332.dmp)

        dump出来的进程文件,可以使用 foremost 来分离里面的文件,用 binwak -e 不推荐

strings -e l 2040.dmp | grep flag 查找flag

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

使用hivelist查看注册表

1.从内存文件中找到异常程序的进程,将进程的名称作为Flag值提交;

pstree查看进程树  3720 这个进程PPID比PID还大。

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

DLL  dlllist -p 查看一下这个进程的查看一下这个进程的DLL,发现程序是在temp目录下执行的,那这个应该就是恶意软件进程了。

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

flag{3720}

2.从内存文件中找到黑客将异常程序迁移后的进程编号,将迁移后的进程编号作为Flag值提交;

 通过*.exe的pid *

查看一下网络连接,注意因为这个版本为2003所以无法使用netscan只能使用connections分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

 发现可疑test进程的pid 并且响应的ip地址与剩下两个进程相同,判断为迁移后的进程编号

3.从内存文件中找到受害者访问的网站恶意链接,将网站的恶意链接作为Flag值提交;

ehistory 历史记录

4.从内存文件中找到异常程序植入到系统的开机自启痕迹,使用Volatility工具分析出异常程序在注册表中植入的开机自启项的Virtual地址,将Virtual地址作为Flag值提交;

查看注册表hivelist

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

0xe171b008就是虚拟内存

0x1d73e008 \Device\HarddiskVolume1\WINDOWS\system32\config\software 

解析是否存在开机自启项:

-o 0xe200f830 printkey

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

发现了windows注册表,接着访问windows下的注册表

 -o 0xe171b008 printkey -K "Microsoft\windows"
 

 -o 0xe171b008 printkey -K "Microsoft\windows\CurrentVersion\Run"

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

5.从内存文件中找到异常程序植入到系统的开机自启痕迹,将启动项最后一次更新的时间作为Flag值(只提交年月日,例如:20210314)提交。

shimcache

分析内存镜像,将杀毒软件服务名称作为flag提交;,网络安全CTF比赛,linux,网络安全,安全

参考: 记录一次内存取证_恰恰想学习的博客-CSDN博客文章来源地址https://www.toymoban.com/news/detail-790558.html

到了这里,关于金砖技能大赛-应急响应-内存镜像分析-进程分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 蓝队-应急响应-日志分析

    在日常蓝队进行日志分析的时候,显示将服务器主机日志全都收集起来,然后将日志放到自动识别脚本当中,就能进行自动分析,最后将有异常的ip直接拉黑即可。 下面的工具讲的是日志分析,是在攻击者进行攻击之后才能发现 #日志自动提取脚本—— 七牛Logkit观星应急工具

    2024年02月11日
    浏览(52)
  • 某次锁仓合约应急响应分析记录

    在之前的一次应急响应中有客户反馈某合约在上X币交易所的时候,按照交易所的要求曾找人写了锁仓合约并完成了2.5亿某代币的锁仓操作,本来应该是三个月解锁一次,两年解锁完毕,然而一年快过去了,一笔解锁款都没有收到,客户感到很是费解,这和预期的有很大的差入

    2024年04月12日
    浏览(37)
  • 【安全服务】应急响应1:流程、排查与分析

    目录 一、应急响应流程 1 准备阶段 2 检测阶段 3 抑制阶段 4 根除阶段 5 恢复阶段 6 总结阶段 现场处置流程 二、系统排查 1、系统信息 2、用户信息 3 启动项 4 任务计划 5 其他:Windows防火墙规则  三、进程排查 1 windows 1.1 任务管理器 1.2 cmd tasklist 1.3 查看正在进行网络连接的进

    2024年02月08日
    浏览(38)
  • 应急响应实战笔记02日志分析篇(5)

    常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。 0x01 Mysql日志分析 general query log能记录成功连接和每次执行的查询,我们可以将它用作安全布防的一部分,为故障分析或黑客事

    2024年02月21日
    浏览(41)
  • 【Windows应急响应】HW蓝队必备——开机启动项、临时文件、进程排查、计划任务排查、注册表排查、恶意进程查杀、隐藏账户、webshell查杀等

    近年来信息安全事件频发,信息安全的技能、人才需求大增。现在,不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。所谓养兵千日,用兵一时,拥有一支完善的团队或完整的流程,可以保

    2024年02月02日
    浏览(46)
  • 应急响应之windows日志分析工具logparser使用

    目录 一、logparser简介 (一)logparser介绍 (二)下载链接 二、logparser安装 三、基本查询结构 四、使用Log Parser分析日志 (一)查询登录成功的事件 1. 登录成功的所有事件 2. 指定登录时间范围的事件 (二)提取登录成功的用户名和IP (三)查询登录失败的事件 1. 登录失败的

    2023年04月09日
    浏览(39)
  • 2023第七届金砖大赛之企业信息系统安全预赛任务书

    目录 任务一:iptables防护 任务二:FTP流量分析 任务三:Web2服务器:Find MSG        攻击机场景:Kali2018 Kali2021        靶机场景:System0002 描述:A集团欲上线一批网络应用服务器,为保障网络应用服务器的安全稳定运行,在服务器上线前需要根据业务需求,对网络应用服

    2024年02月08日
    浏览(38)
  • 应急响应 - Windows用户分析,Windows隐藏账号分析,Windows克隆账号分析

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 攻击者通常会在服务器中创建用户进行维权,查看是否有新增的可疑账号,核实后禁用或删除。 cmd中,输

    2023年04月22日
    浏览(47)
  • 应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 很多恶意程序会把自己添加到系统启动项中,在开机时自动运行。 msconfig是Windows自带的系统配置实用程序

    2023年04月17日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包