0x00 取证背景

先进的技术手段在进行网络攻击、数据盗窃、恶意软件植入等非法活动时，这些行为往往会在系统运行时留下痕迹，而传统的硬盘取证可能无法捕捉到这些瞬时或隐藏的信息，因为它们可能未被写入持久化存储设备，或者被精心设计以逃避静态文件分析。 

内存取证在事件响应过程中，内存取证能够快速提供系统当前状态的详细视图，帮助安全分析师及时做出准确判断，如确定攻击范围、隔离受损系统、阻断恶意活动等，从而降低损失并提高应急响应效率。

通过内存转储和专业工具分析，可以确保在不影响系统正常运行的前提下，对内存中的关键数据进行非破坏性提取和保存。

之前取证这个活儿，在个人的经验里面总有点打怵，一直没有接触过相关的案例，执行具体分析过程。正好这次数信杯碰到了一个题目，比赛时候另外的队友做出来了，剩下没做出来晚上花了一点时间，了解相应的工具。自己比较小白，做完题目后，小有成长分享一下。

0x01 解题过程

题目是不安全的U盘，给了一个raw文件，通过dumpit制作当前机器的内存镜像。dumpit 便携性强，可部署在USB闪存盘上，便于现场快速响应事件。运行时只需用户确认即可开始制作当前机器的内存镜像。  

使用的具体分析工具是Volatility。

题目第一小问，是密码获取，成功拿到密码，看图执行获取hash的命令

第二问 寻找被感染进程，通过windows.pslist参数拿到进程名

第三问，寻找回连地址进程

通过查看网络连接状态，寻找稳定的tcp连接

第四问，寻找配置文件

使用windows.filescan.FlieScan导出文件，文件数目大概上千余条。

一开始的思路直接寻找配置文件后缀，比如ini，cgf，txt，xml，json，yaml等，但是没有发现。

需要找到异常文件。

想到用.exe来过滤，寻找异常文件，发现f.exe，继续分析发现同级别

路径下存在c.toml文件，推测该文件为配置文件，需要dump出来该文件，具体命令不会使用，尝试help

第一次使用的虚拟偏移量，未能导出

第二次使用物理偏移量，成功导出文件

python vol.py -f e:BaiduNetdiskDownload11.raw  windows.dumpfiles.DumpFiles --physaddr

0x7e4556a0

0x02其他操作

Volatility这个工具还有很多其他的用法，以点窥面，可以去了解下。

原文始发于微信公众号（here404）：数信杯一个题目窥看内存取证