网站建设设计设计公司哪家好,手机单页网站模板,wordpress ip检测,百度网页版文章目录 Misc取证学习磁盘取证工具veracryto挂载fat文件DiskGenius 磁盘取证例题[RCTF2019]disk 磁盘[](https://ciphersaw.me/ctf-wiki/misc/disk-memory/introduction/#_2)内存取证工具volatility 内存取证例题数字取证赛题0x01.从内存中获取到用户admin的密码并且破解密码 … 文章目录 Misc取证学习磁盘取证工具veracryto挂载fat文件DiskGenius 磁盘取证例题[RCTF2019]disk 磁盘[¶](https://ciphersaw.me/ctf-wiki/misc/disk-memory/introduction/#_2)内存取证工具volatility 内存取证例题数字取证赛题0x01.从内存中获取到用户admin的密码并且破解密码 如果john爆破不出来就使用查看强密码lsadump0x02.获取当前系统 ip 地址及主机名0x03.获取当前系统浏览器搜索过的关键词0x04.当前系统中存在挖矿进程请获取指向的矿池地址0x05.恶意进程在系统中注册了服务请将服务名以 Flag{服务名}形式提交 查询服务名称svcscan扫描 Windows 的服务参考 Misc取证学习
磁盘取证工具
veracryto挂载fat文件
挂载磁盘文件
https://sourceforge.net/projects/veracrypt/
DiskGenius
DiskGenius是一款硬盘分区及数据恢复软件
磁盘取证例题
[RCTF2019]disk 一个vmdk文件我们在010打开 发现了一半的flag
我们用7z打开vmdk文件发现了一个FAT文件 磁盘¶ 常见的磁盘分区格式有以下几种 Windows: FAT12 - FAT16 - FAT32 - NTFS Linux: EXT2 - EXT3 - EXT4 FAT 主磁盘结构 删除文件目录表中文件名第一字节 e5。 FATFile Allocation Table文件是win下面的磁盘分区文件
我们使用veracryto挂载fat文件盲猜密码rctf 获得一张没用的照片和密码RCTF2019
这里就有个盲区知识点在挂载输入密码的时候不同的密码可以进入不同的文件系统
使用新密码挂载 但是隐藏分区无法直接访问DiskGenius可以打开 使用该磁盘分区软件查看到了磁盘分区B的内容即另一半flag
内存取证工具
volatility
Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证。Volatility是一款开源内存取证框架能够对导出的内存镜像进行分析通过获取内核数据结构使用插件获取内存的详细情况以及系统的运行状态。
Volatility Foundation Volatility Framework 2.6
用法 Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置(/etc/volatilityrc)--conf-file/home/kali/.volatilityrc基于用户的配置文件-d, --debug 调试Volatility--pluginsPLUGINS 要使用的其他插件目录冒号分隔--info 打印所有注册对象的信息--cache-directory/home/kali/.cache/volatility存放缓存文件的目录--cache 使用缓存--tzTZ 设置 (Olson) 时区以使用 pytz如果已安装或 tzset 显示时间戳-f FILENAME, --filenameFILENAME打开图像时使用的文件名--profileWinXPSP2x86要加载的配置文件的名称使用 --info 查看支持的配置文件列表-l LOCATION, --locationLOCATION从中加载地址空间的 URN 位置-w, --write 启用写支持--dtbDTB DTB 地址--shiftSHIFT Mac KASLR 移位地址--outputtext 以这种格式输出支持特定于模块请参阅下面的模块输出选项--output-fileOUTPUT_FILE在此文件中写入输出-v, --verbose 详细信息-g KDBG, --kdbgKDBG 指定一个 KDBG 虚拟地址注意对于 64 位 Windows 8 及更高版本这是 KdCopyDataBlock 的地址--force 强制使用可疑配置文件-k KPCR, --kpcrKPCR 指定特定的 KPCR 地址--cookieCOOKIE 指定 nt!ObHeaderCookie 的地址仅适用于 Windows 10支持的插件命令:amcache 查看AmCache应用程序痕迹信息apihooks 检测内核及进程的内存空间中的API hookatoms 列出会话及窗口站atom表atomscan Atom表的池扫描(Pool scanner)auditpol 列出注册表HKLMSECURITYPolicyPolAdtEv的审计策略信息bigpools 使用BigPagePoolScanner转储大分页池(big page pools)bioskbd 从实时模式内存中读取键盘缓冲数据(早期电脑可以读取出BIOS开机密码)cachedump 获取内存中缓存的域帐号的密码哈希callbacks 打印全系统通知例程clipboard 提取Windows剪贴板中的内容cmdline 显示进程命令行参数cmdscan 提取执行的命令行历史记录扫描_COMMAND_HISTORY信息connections 打印系统打开的网络连接(仅支持Windows XP 和2003)connscan 打印TCP连接信息consoles 提取执行的命令行历史记录扫描_CONSOLE_INFORMATION信息crashinfo 提取崩溃转储信息deskscan tagDESKTOP池扫描(Poolscaner)devicetree 显示设备树信息dlldump 从进程地址空间转储动态链接库dlllist 打印每个进程加载的动态链接库列表driverirp IRP hook驱动检测drivermodule 关联驱动对象至内核模块driverscan 驱动对象池扫描dumpcerts 提取RAS私钥及SSL公钥dumpfiles 提取内存中映射或缓存的文件dumpregistry 转储内存中注册表信息至磁盘editbox 查看Edit编辑控件信息 (Listbox正在实验中)envars 显示进程的环境变量eventhooks 打印Windows事件hook详细信息evtlogs 提取Windows事件日志仅支持XP/2003)filescan 提取文件对象file objects池信息gahti 转储用户句柄handle类型信息gditimers 打印已安装的GDI计时器(timers)及回调(callbacks)gdt 显示全局描述符表(Global Deor Table)getservicesids 获取注册表中的服务名称并返回SID信息getsids 打印每个进程的SID信息handles 打印每个进程打开的句柄的列表hashdump 转储内存中的Windows帐户密码哈希(LM/NTLM)hibinfo 转储休眠文件信息hivedump 打印注册表配置单元信息hivelist 打印注册表配置单元列表hivescan 注册表配置单元池扫描hpakextract 从HPAK文件Fast Dump格式提取物理内存数据hpakinfo 查看HPAK文件属性及相关信息idt 显示中断描述符表(Interrupt Deor Table)iehistory 重建IE缓存及访问历史记录imagecopy 将物理地址空间导出原生DD镜像文件imageinfo 查看/识别镜像信息impscan 扫描对导入函数的调用joblinks 打印进程任务链接信息kdbgscan 搜索和转储潜在KDBG值kpcrscan 搜索和转储潜在KPCR值ldrmodules 检测未链接的动态链接DLLlsadump 从注册表中提取LSA密钥信息已解密machoinfo 转储Mach-O 文件格式信息malfind 查找隐藏的和插入的代码mbrparser 扫描并解析潜在的主引导记录(MBR)memdump 转储进程的可寻址内存memmap 打印内存映射messagehooks 桌面和窗口消息钩子的线程列表mftparser 扫描并解析潜在的MFT条目moddump 转储内核驱动程序到可执行文件的示例modscan 内核模块池扫描modules 打印加载模块的列表multiscan 批量扫描各种对象mutantscan 对互斥对象池扫描notepad 查看记事本当前显示的文本objtypescan 扫描窗口对象类型对象patcher 基于页面扫描的补丁程序内存poolpeek 可配置的池扫描器插件printkey 打印注册表项及其子项和值privs 显示进程权限procdump 进程转储到一个可执行文件示例pslist 按照EPROCESS列表打印所有正在运行的进程psscan 进程对象池扫描pstree 以树型方式打印进程列表psxview 查找带有隐藏进程的所有进程列表qemuinfo 转储 Qemu 信息raw2dmp 将物理内存原生数据转换为windbg崩溃转储格式screenshot 基于GDI Windows的虚拟屏幕截图保存servicediff Windows服务列表(ala Plugx)sessions _MM_SESSION_SPACE的详细信息列表(用户登录会话)shellbags 打印Shellbags信息shimcache 解析应用程序兼容性Shim缓存注册表项shutdowntime 从内存中的注册表信息获取机器关机时间sockets 打印已打开套接字列表sockscan TCP套接字对象池扫描ssdt 显示SSDT条目strings 物理到虚拟地址的偏移匹配(需要一些时间带详细信息)svcscan Windows服务列表扫描symlinkscan 符号链接对象池扫描thrdscan 线程对象池扫描threads 调查_ETHREAD 和_KTHREADstimeliner 创建内存中的各种痕迹信息的时间线timers 打印内核计时器及关联模块的DPCtruecryptmaster Recover 恢复TrueCrypt 7.1a主密钥truecryptpassphrase 查找并提取TrueCrypt密码truecryptsummary TrueCrypt摘要信息unloadedmodules 打印卸载的模块信息列表userassist 打印注册表中UserAssist相关信息userhandles 转储用户句柄表vaddump 转储VAD数据为文件vadinfo 转储VAD信息vadtree 以树形方式显示VAD树信息vadwalk 显示遍历VAD树vboxinfo 转储Virtualbox信息虚拟机verinfo 打印PE镜像中的版本信息vmwareinfo 转储VMware VMSS/VMSN 信息volshell 内存镜像中的shellwindows 打印桌面窗口(详细信息)wintree Z顺序打印桌面窗口树wndscan 池扫描窗口站yarascan 以Yara签名扫描进程或内核内存内存取证-volatility工具的使用 史上更全教程更全命令_路baby的博客-CSDN博客
内存取证例题
数字取证赛题
是46届世界技能大赛湖北省选拔赛 也是今年金砖比赛的样题 链接https://pan.baidu.com/s/1tYgIicCqJExmaMLYa3YeSA 提取码lulu 你作为 A 公司的应急响应人员请分析提供的内存文件按照下面的要求找到 相关关键信息完成应急响应事件。
1、从内存中获取到用户admin的密码并且破解密码以Flag{admin,password} 形式提交(密码为 6 位)
2、获取当前系统 ip 地址及主机名以 Flag{ip:主机名}形式提交
3、获取当前系统浏览器搜索过的关键词作为 Flag 提交
4、当前系统中存在挖矿进程请获取指向的矿池地址以 Flag{ip:端口}形式 提交
5、恶意进程在系统中注册了服务请将服务名以 Flag{服务名}形式提交。
0x01.从内存中获取到用户admin的密码并且破解密码
首先我们拿到镜像的题目的第一步是需要判断当前的镜像信息分析是哪个操作系统 imageinfo查看识别镜像信息 python2 vol.py -f worldskills3.vmem imageinfo 操作系统我们一般取第一个就可以了,分析出系统为Win7SP1x64
接下来我们查看内存镜像中的用户
--profile去指定操作系统printkey打印注册表项及其子项和值 -K指定键
我们可以这样列出 内存镜像中的用户
python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 printkey -K SAM\Domains\Account\Users\Names接下来尝试获得win账户密码
python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 hashdumphashdump查看用户名密码信息密码是哈希值需要john爆破 查看当前操作系统中的 password hash例如 Windows 的 SAM 文件内容(mimikatz插件可以获取系统明文密码) 不过这个hash密码破解不出来应该用了强密码 lsadump从注册表中提取LSA密钥信息已解密 如果john爆破不出来就使用查看强密码lsadump python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 lsadumpmd5解密一下 0x02.获取当前系统 ip 地址及主机名
通过netscan可以查询到ip地址
python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 netscan192.168.85.129 hivelist打印注册表配置单元列表 查主机名需要通过查询注册表先用hivelist
python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 hivelist然后我们需要一步一步去找键名
python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 -o 0xfffff8a000024010 printkeypython2 vol.py -f worldskills3.vmem --profileWin7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001继续找键
python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control
python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control\ComputerName
python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control\ComputerName\ComputerName0x03.获取当前系统浏览器搜索过的关键词 iehistory重建IE缓存及访问历史记录 python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 iehistory0x04.当前系统中存在挖矿进程请获取指向的矿池地址 netscan:扫描网络情况 python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 netscan这里只有一个进程的状态为ESTABLISHED
flag{54.36.109.161:2222}
0x05.恶意进程在系统中注册了服务请将服务名以 Flag{服务名}形式提交
上一题中已经知道了进程号为2588 pslist按照EPROCESS列表打印所有正在运行的进程 python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 pslist这里 PPID就是Parent PID
所以2588的父进程是3036 查询服务名称svcscan扫描 Windows 的服务 python2 vol.py -f worldskills3.vmem --profileWin7SP1x64 svcscan参考
内存取证-volatility工具的使用 史上更全教程更全命令_路baby的博客-CSDN博客
内存取证-volatility工具的使用_baynk的博客-CSDN博客
volatility 各个选项的详解-腾讯云开发者社区-腾讯云 (tencent.com)
