记一些内存取证题

生活若循规蹈矩,我们便随心而动

1.Suspicion

给了俩文件

python2 vol.py -f mem.vmem imageinfo

查看可疑进程 

python2 vol.py -f mem.vmem --profile=WinXPSP2x86 pslist

发现可疑进程TrueCrypt.exe 

把这个进程提取出来。memdump -p 进程号 -D 目录

python2 vol.py -f mem.vmem --profile=WinXPSP2x86 memdump -p 2012 -D ./

注:这里不同于下载文件。

下载文件:dumpfiles -Q 0xxxxxxxx -D 目录 

 得到了2012.dmp文件

这时我们需要用到Elcomsoft Forensic Disk Decryptor

2.[湖湘杯2020] passwd

we need sha1(password)!!!

一眼hashdump

volatility -f WIN-BU6IJ7FI9RU-20190927-152050.raw --profile=Win7SP1x86_23418 hashdump

3. [NEWSCTF2021] very-ez-dump

python2 vol.py -f mem.raw --profile=Win7SP1x64 filescan | grep "flag"

发现flag.zip 

python2 vol.py -f mem.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e4b2070 -D ./
 

把他下载下来

 、

发现需要密码。

发现了(ljmmz)ovo

4. 福莱格殿下

啥提示也没有

先filescan看一下。

发现了fl4g.zip

找到了2张图片。

将png放入StegSolve里,发现了二维码。

因为我也不知flag是啥,谐音字为flag{abcdefg}

5.[HDCTF] 你能发现什么蛛丝马迹吗?

python2 vol.py -f memory.img --profile=Win2003SP1x86 filescan | grep "flag"

发现flag.png

得到一个二维码

扫码后得到一串

jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=

解码啥也不是。

猜测缺了个密钥。 

python2 vol.py -f memory.img --profile=Win2003SP1x86 cmdscan

 

发现了进程DumpIt.exe

提取出来

python2 vol.py -f memory.img --profile=Win2003SP1x86 memdump -p 1992 -D ./

得到了1992.dmp

foremost以下,得到了好多东西,但是是我们找到了

一眼AES

6.OtterCTF

1、What the password?

要找密码

先想到hashdump

volatility -f OtterCTF.vmem --profile=Win7SP1x64 hashdump

 但是他是加密的

然后我们再想到lsadump

volatility -f OtterCTF.vmem --profile=Win7SP1x64 lsadump

 

得到密码MortyIsReallyAnOtter

2.General info 

找主机的IP地址和主机名

ip地址:netscan

volatility -f OtterCTF.vmem --profile=Win7SP1x64 netscan

 

192.168.202.131

主机名:可以直接用hivedump

也可以:hivelist

volatility -f OtterCTF.vmem --profile=Win7SP1x64 hivelist

 

volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey  -K ControlSet001

 volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control

 

volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control\ComputerName 

 volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control\ComputerName\ComputerName

 

找到了主机名:WIN-LO6FAF3DTFE

3.play time

瑞克只是喜欢玩一些很好的老电子游戏。你知道他在玩什么游戏吗?服务器的IP地址是什么?

晕只知道思路,不知游戏。

思路,pslist查看到游戏进程,然后在netscan里找到对应ip

volatility -f OtterCTF.vmem --profile=Win7SP1x64 pslist

找到游戏名LunarMS

 volatility -f OtterCTF.vmem --profile=Win7SP1x64 netscan | findstr "LunarMS.exe"

找到IP: 77.102.119.102

4.Name Game 

我们知道该帐户登录了一个名为 Lunar-3 的频道。账户名是什么?

 把那个游戏进程提取出来

python2 vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -p 708 -D ./ 

然后用strings 看一下 

strings 708.dmp | grep "Lunar-3" -C 10

 

0tt3r8r33z3

5.Name Game2

通过一点研究,我们发现登录角色的用户名总是在这个签名之后:

0x64 0x??{6-8}0x40 0x06 0x??{18}0x 5a 0x 0 c 0x 00 {2}

瑞克的角色叫什么?格式:CTF{...}

0x64 0x??{6-8}0x40 0x06 0x??{18}0x 5a 0x 0 c 0x 00 {2}意思是16进制64后6-8位是16进制40 16进制06,再18位后是十六进制5a 十六进制0c 十六进制00

 直接把游戏进程放在010里发现了M0rtyLOL

6、Silly Rick

傻里克总是忘记他的电子邮件密码,因此他使用在线存储密码服务来存储他的密码。他总是复制粘贴密码,这样就不会弄错。rick 的电子邮件密码是什么?

复制粘贴:clipboard

volatility -f OtterCTF.vmem --profile=Win7SP1x64 clipboard

找到了:M@il_Pr0vid0rs 


7. [BMZCTF]内存取证三项

一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑也不管自己在电脑上留下的操作急忙离开电脑,故作淡定的说:“我就是随便看看”。 
1.小黑写的啥,据说是flag?

2.那么问题来了,小白的密码是啥?
3.小黑发送的机密文件里面到底是什么

1.写的啥,猜测editbox

 volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 editbox

 

2. 密码:hashdump

volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 hashdump

 

md5解密即可。

19950101

3.黑发送的机密文件里面到底是什么

在cmdscan里找到

然后直接下载这个文件

volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000002c61318 -D ./

密码是生日19950101

flag{Thi5_Is_s3cr3t!}

8.[陇剑杯]内存分析

1.网管小王制作了一个虚拟机文件,让您来分析后作答:
虚拟机的密码是_____________

volatility -f Target.vmem --profile=Win7SP1x64 lsadump 

 

flag{W31C0M3 T0 THiS 34SY F0R3NSiCX} 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/833212.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

0508_IO2

练习&#xff1a; 将一张图片修改为德国国旗 1 #include <stdio.h>2 #include <string.h>3 #include <stdlib.h>4 #include <sys/types.h>5 #include <unistd.h>6 #include <sys/stat.h>7 #include <fcntl.h>8 #include <pthrea…

OFD(Open Fixed-layout Document)

OFD(Open Fixed-layout Document) &#xff0c;是由工业和信息化部软件司牵头中国电子技术标准化研究院成立的版式编写组制定的版式文档国家标准&#xff0c;属于中国的一种自主格式&#xff0c;要打破政府部门和党委机关电子公文格式不统一&#xff0c;以方便地进行电子文档的…

哈夫曼树与哈夫曼编码

一、哈夫曼树相关概念 路径&#xff1a;从树中的一个节点到另一个节点之间的分支构成两个节点间的路径。 节点的路径长度&#xff1a;两节点间路径的分支数&#xff08;路径的个数&#xff09; 树的路径长度&#xff08;TL&#xff09;&#xff1a;从根节点到树中每一个点的路径…

基于FPGA的AD7705芯片驱动设计VHDL代码Quartus仿真

名称&#xff1a; 软件&#xff1a;Quartus基于FPGA的AD7705芯片驱动设计VHDL代码Quartus仿真&#xff08;文末获取&#xff09; 语言&#xff1a;VHDL 代码功能&#xff1a; AD77025芯片控制及串口输出 1、使用FPGA控制AD77025芯片&#xff0c;使其输出AD值 2、将数据计…

安卓开发(二)Android开发基础知识

了解Android Android大致可以分为4层架构&#xff1a;Linux内核层、系统运行库层、应用框架层和应用层。 内核层&#xff1a;Android系统是基于Linux内核的&#xff0c;这一层为Android设备的各种硬件提供了底层的驱动&#xff0c;如显示驱动、音频驱动、照相机驱动、蓝牙驱动…

CANdela/Diva系列2--CANdela Studio的工作树介绍1

本系列的第一篇文章&#xff08;CANdela/Diva系列1--CANdela Studio的基本介绍&#xff09;主要介绍了CANdela这个工具&#xff0c;本篇文章将对CANdela Studio的工作树的每个模块进行详细介绍&#xff0c;不啰嗦&#xff0c;直接开始&#xff01; 目录 1. ECU Information的…

技术速递|使用 .NET 为 Microsoft AI 构建可扩展网关

作者&#xff1a;Kara Saucerman 排版&#xff1a;Alan Wang Microsoft AI 团队构建了全面的内容、服务、平台和技术&#xff0c;以便消费者在任何设备上、任何地方获取他们想要的信息&#xff0c;并为企业改善客户和员工的体验。我们的团队支持多种体验&#xff0c;包括 Bing、…

MapReduce的Shuffle过程

Shuffle是指从 Map 产生输出开始,包括系统执行排序以及传送Map输出到Reduce作为输入的过程. Shuffle 阶段可以分为 Map 端的 Shuffle 阶段和 Reduce 端的 Shuffle 阶段. Shuffle 阶段的工作过程,如图所示: Map 端的 Shuffle 阶段 1&#xff09;每个输入分片会让一个 Map 任务…

【探索Java编程:从入门到入狱】Day4

&#x1f36c; 博主介绍&#x1f468;‍&#x1f393; 博主介绍&#xff1a;大家好&#xff0c;我是 hacker-routing &#xff0c;很高兴认识大家~ ✨主攻领域&#xff1a;【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】 &#x1f389;点赞➕评论➕收…

【YoloDeployCsharp】基于.NET Framework的YOLO深度学习模型部署测试平台

YoloDeployCsharp|基于.NET Framework的YOLO深度学习模型部署测试平台 1. 项目介绍2. 支持模型3. 时间测试4. 总结 1. 项目介绍 基于.NET Framework 4.8 开发的深度学习模型部署测试平台&#xff0c;提供了YOLO框架的主流系列模型&#xff0c;包括YOLOv8~v9&#xff0c;以及其系…

MySql数据库(概念篇)

数据库概念 什么是数据库 数据库见名之意&#xff0c;就是用来存储数据的仓库&#xff0c;是一个长期存储在计算机内的、有组织的、可共享的、统一管理的大量数据的集合。 没接触数据库之前&#xff0c;一般都是将数据存储在文件中。比如execl文件&#xff0c;word文件中。但是…

基于SpringBoot的饭店外卖平台的设计与实现

项目描述 这是一款基于SpringBoot的饭店外卖平台的系统 模块描述 用户端 登录 首页 商家信息 点餐 菜品列表 下单 订单列表 账号下单列表 个人中心 个人资料 修改信息 评论管理 评论菜品 查看评论 打赏骑手 打赏骑手 管理员 登录 菜品管理 修改 下架 订单列表 下单记录 菜品管理…

nginx 负载均衡、反向代理实验

nginx 负载均衡、反向代理实验 实验目的 理解概念&#xff1a;明确反向代理和负载均衡的基本概念及其在网络架构中的作用。 掌握技能&#xff1a;学习如何配置Nginx以实现反向代理和负载均衡功能。 实践应用&#xff1a;通过实际操作&#xff0c;体验Nginx如何提升Web服务的可…

LeetCode406:根据身高重建队列

题目描述 假设有打乱顺序的一群人站成一个队列&#xff0c;数组 people 表示队列中一些人的属性&#xff08;不一定按顺序&#xff09;。每个 people[i] [hi, ki] 表示第 i 个人的身高为 hi &#xff0c;前面 正好 有 ki 个身高大于或等于 hi 的人。 请你重新构造并返回输入数…

TinyXML-2介绍

1.简介 TinyXML-2 是一个简单、小巧的 C XML 解析库&#xff0c;它是 TinyXML 的一个改进版本&#xff0c;专注于易用性和性能。TinyXML-2 用于读取、修改和创建 XML 文档。它不依赖于外部库&#xff0c;并且可以很容易地集成到项目中。 tinyXML-2 的主要特点包括&#xff1a…

远程工作的数据安全挑战和解决策略

随着远程工作的普及&#xff0c;数据安全面临了前所未有的挑战。企业在应对这些挑战时&#xff0c;必须采取切实有效的策略来保护敏感信息。以下是远程工作数据安全的主要挑战和相应的解决策略&#xff1a; 数据安全挑战 设备丢失或被盗&#xff1a;员工在外工作时&#xff0c…

ldap对接jenkins

ldap结构 配置 - jenkins进入到 系统管理–>全局安全配置 - 安全域 选择ldap - 配置ldap服务器地址&#xff0c;和配置ldap顶层唯一标识名 配置用户搜索路径 - 配置管理员DN和密码 测试认证是否OK

AIGC技术带给我们什么?基于AIGC原理及其技术更迭的思考

AIGC技术带给我们什么&#xff1f;基于AIGC原理以及技术更迭的思考 前言 AI&#xff0c;这个词在如今人们的视野中出现频率几乎超过了所有一切其他的事物&#xff0c;更有意思的是&#xff0c;出现频率仅次于这个词的&#xff0c;几乎都会加上一个修饰亦或是前缀——AI&#…

ROS机器人实用技术与常见问题解决

问题速查手册&#xff08;时实更新&#xff09;更加全面丰富的问题手册记录 1.机器人使用GPARTED挂载未分配空间 需要在图型界面下操作&#xff0c;建议使用no machine连接 安装gparted磁盘分区工具, sudo apt-get install gparted -y 启动软件 sudo gparted 点击磁盘/内存…

如何使用vue脚手架创建项目

前言 使用vue搭建项目的时候&#xff0c;我们可以通过对应的cmd命令去打开脚手架&#xff0c;然后自己配置对应的功能插件 说明&#xff1a; 要使用Vue脚手架创建项目&#xff0c;你需要先确保你已经安装了Node.js和npm&#xff08;Node.js的包管理器&#xff09;。然后&#…