CTF内存取证练习[公众号回复内存取证获取练习]

admin 2023年1月17日14:52:06取证分析评论5 views1425字阅读4分45秒阅读模式

volatility的基本操作

获取内存镜像的基本信息:

volatility -f memory.raw imageinfo

获取内存镜像的基本情况后,可以进一步获取信息,以Win7SP1x86为例:

查看进程信息:

volatility -f memory.raw --profile=Win7SP1x86 pslist

查看文件:

volatility -f memory.raw --profile=Win7SP1x86 filescan

导出文件:

volatility -f memory.raw --profile=Win7SP1x86 dumpfiles -Q {address} --dump-dir=./

查看命令行历史:

volatility -f memory.raw --profile=Win7SP1x86 cmdline

查看注册表:

volatility -f memory.raw --profile=Win7SP1x86 hashdump

其他操作不一一列举

练习步骤

步骤1:获取内存镜像的版本

首先使用imageinfo命令来获取当前内存镜像对应的系统版本,其中-f后面的为镜像地址,将其指定为要分析的镜像地址即可

CTF内存取证练习[公众号回复内存取证获取练习]

CTF内存取证练习[公众号回复内存取证获取练习]

一般来说前两个候选项都有可能,Win7更常见一点,因此我们尝试使用Win7SP1x64来进行后面的操作,如果结果不对可以尝试第一个Win2008。

 

步骤2:进行文件搜索

进行内存取证主要要寻找一些目标文件,在CTF竞赛中常见的就是,flag或hint字样的文件,因此我们使用filescan来扫描并用grep进行结果过滤

CTF内存取证练习[公众号回复内存取证获取练习]

这里的完整grep命令为:

grep -E "flag|hint",-E参数表示用正则表达式来进行匹配,后面的"flag|hint"则是正则表达式

可以看到这里有一个hint.txt.txt,非常可疑

步骤3:导出可疑文件并进行查看

利用dumpfiles功能,我们可以对文件进行导出

其中-Q参数的值为上图中,每行开头的值(即内存地址),-D参数为导出文件目录

CTF内存取证练习[公众号回复内存取证获取练习]

CTF内存取证练习[公众号回复内存取证获取练习]

用cat查看导出的文件,其含义是,flag就在桌面上,只要我们能够看到桌面,就能找到flag。

因此我们可以以Desktop为关键字进行文件扫描:

CTF内存取证练习[公众号回复内存取证获取练习]

通过filescan命令来扫描Desktop,除了hint.txt.txt又没有什么可疑文件,可以联想到出题人很有可能把flag的图片替换了默认的壁纸,我们可以以Wallpaper(壁纸的英文)来进行文件搜索过滤。

步骤4:寻找壁纸的默认路径

这里依然使用filescan配合grep来过滤"Wallpaper"这个关键字

CTF内存取证练习[公众号回复内存取证获取练习]

可以看到有个fl4g.png,可能是我们的目标文件,导出,重命名并使用图片编辑器查看:

导出的文件默认后缀名都是.dat,因此需要重命名

CTF内存取证练习[公众号回复内存取证获取练习]

CTF内存取证练习[公众号回复内存取证获取练习]

可以看到这就是我们要寻找的flag

flag为flag{memory_dump!}

实验结果分析与总结

本实验需要选手掌握volatility这一内存取证工具的基本操作,同时要有一定的发散思维,这样才能顺利的找到flag。

要有较强的搜索能力来寻找Windows桌面默认路径才能最终找到flag,因此要善于使用搜索引擎。

思考

请思考,对于黑客入侵的真实场景中,应该重点关注哪些信息?说说你的想法。

练习下载

https://static2.ichunqiu.com/icq/resources/exp_file/NU1L-CTF/Misc/5.zip

 

原文始发于微信公众号(钟毓安全):CTF内存取证练习[公众号回复内存取证获取练习]

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月17日14:52:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CTF内存取证练习[公众号回复内存取证获取练习] http://cn-sec.com/archives/1428970.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: