应急响应-内存镜像取证
|
126
|
2
|
Misc刷题

771 字
|
4 分钟

使用了https://blog.csdn.net/m0_68012373/article/details/127394375这个博客提供的题目文件,万分感谢师傅,这类题目的题目文件找好久都找不到T_T

题目要求:

你作为 A 公司的应急响应人员,请分析提供的内存文件按照下面的要求找到 相关关键信息,完成应急响应事件。

1、从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);

2、获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;

3、获取当前系统浏览器搜索过的关键词,作为 Flag 提交;

4、当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;

5、恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。

拿到以后首先看一下镜像信息,不管什么题内存取证的第一步肯定是去判断当前的镜像信息,分析出是哪个操作系统

 volatility -f worldskills3.vmem imageinfo

获取到操作系统,就可以用这个profile参数来进行后续操作

任务1.获取admin用户明文密码

根据题目要求,首先获取用户信息,这里可以直接查询注册表来获取信息

 volatility -f worldskills3.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"

然后可以使用lsadump模块来查看密码

 volatility -f worldskills3.vmem --profile=Win7SP1x64 lsadump

里面的是password,解一下md5

所以第一个flag为flag{admin,dfsddew}

任务2.获取当前系统 ip 地址及主机名

第二题可以使用netscan模块获取

 volatility -f worldskills3.vmem --profile=Win7SP1x64 netscan

本机ip为192.168.85.129

主机名可以通过查看注册表信息获取,先列出注册表

 volatility -f worldskills3.vmem --profile=Win7SP1x64 hivelist

然后需要一步一步去找键名

 volatility -f worldskills3.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey
 volatility -f worldskills3.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"
 volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"
volatility -f worldskills3.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"
volatility -f worldskills3.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

获得主机名,得到第二个flag:flag{192.168.85.129:WIN-9FBAEH4UV8C}

任务3.获取当前系统浏览器搜索过的关键词

可以用iehistory模块

volatility -f worldskills3.vmem --profile=Win7SP1x64 iehistory

第三个flag:flag{admin@file:///C:/Users/admin/Desktop/flag.txt}

任务4.获取挖矿进程指向的矿池地址

依旧是使用netscan模块,看一下外连的进程即可

volatility -f worldskills3.vmem --profile=Win7SP1x64 netscan

正在外连的进程,可以看到ip为54.36.109.161:2222

所以第四个flag为flag{54.36.109.161:2222}

任务5.获取恶意进程在系统中注册的服务名

进程pid上一个任务中已经得知,是2588,所以我们pslist模块中查一下

volatility -f worldskills3.vmem --profile=Win7SP1x64 pslist -p 2588

得知父进程pid为3036,再看看

再上一级就是系统的进程了。这里我们再使用svcscan去查询服务名称,找到对应服务名

volatility -f worldskills3.vmem --profile=Win7SP1x64 svcscan

服务名为VMnetDHCP,所以最后一个flag为flag{VMnetDHCP}

本题到此结束~有什么问题欢迎师傅们不吝指正。

    评论

    1. 夹心
      5月前
      2022-11-07 15:03:25

      真棒

      • 闲余
        夹心
        5月前
        2022-11-07 16:53:03

        嘻嘻嘻嘻嘻嘻嘻

    发送评论 编辑评论 

    
				
    
			
    
						
    
				
    
					
    
						
    
							
    
								
							
    
							
						
    
					
    
				
    
				
    
					
    
						
    
							
    
								
							
    
							
						
    
					
    
				
    
				
    
					
    
						
    
							
    
								
							
    
							
							
													
    
					
    
				
    
			
    
			
			
    
				
    
					
				
    
			
    
				
    
											
    
							
							
						
    
																				
					
											
						
    
	
    
		
    |´・ω・)ノ
    ヾ(≧∇≦*)ゝ
    (☆ω☆)
    (╯‵□′)╯︵┴─┴
     ̄﹃ ̄
    (/ω\)
    ∠( ᐛ 」∠)_
    (๑•̀ㅁ•́ฅ)
    →_→
    ୧(๑•̀⌄•́๑)૭
    ٩(ˊᗜˋ*)و
    (ノ°ο°)ノ
    (´இ皿இ`)
    ⌇●﹏●⌇
    (ฅ´ω`ฅ)
    (╯°A°)╯︵○○○
    φ( ̄∇ ̄o)
    ヾ(´・ ・`。)ノ"
    ( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
    (ó﹏ò。)
    Σ(っ °Д °;)っ
    ( ,,´・ω・)ノ"(´っω・`。)
    ╮(╯▽╰)╭
    o(*////▽////*)q
    >﹏<
    ( ๑´•ω•) "(ㆆᴗㆆ)
    😂
    😀
    😅
    😊
    🙂
    🙃
    😌
    😍
    😘
    😜
    😝
    😏
    😒
    🙄
    😳
    😡
    😔
    😫
    😱
    😭
    💩
    👻
    🙌
    🖕
    👍
    👫
    👬
    👭
    🌚
    🌝
    🙈
    💊
    😶
    🙏
    🍦
    🍉
    😣
    Source: github.com/k4yt3x/flowerhd
    	
    
	
    
		
    颜文字
    Emoji
    小恐龙
    花!
    	
    

    									
    
			
    
			
			
		
    
	
    

    



    上一篇
    下一篇