0x1 任务简介
内存镜像需要通过靶机FTP服务下载,用户名 ftpuser 密码 ChinaSkills@2023。A集团某电脑系统感染恶意程序,导致系统关键文件被破坏,该集团的技术人员已及时发现入侵行为,并对系统内存和硬盘做了镜像固定。请根据A集团提供的磁盘镜像和内存镜像的原始证据,分析并提取入侵行为证据。(本题所需要分析的操作系统为windows系列或linux 系列)。本任务素材包括:内存镜像(*.raw)
在分析之前,需要先判断当前的镜像信息,分析出是哪个操作系统 命令imageinfo即可获取镜像信息。
先要判断哪个是正确的操作系统,
错误的:
正确的:
当我们确定操作系统就可以利用插件去做题了
1.分析内存镜像,找到内存中的恶意进程,并将进程的名称作为flag值提交, 格式flag{xx}
flag{test.exe}
查看进程pslist
psscan可以查看到隐藏的进程
2.分析内存镜像,找到黑客访问恶意链接的时间格式flag{2023-01-19 00:00:00}
flag{2021-05-02 13:49:40}
获取当前系统浏览器搜索过的关键词 iehistory
3.分析内存镜像找到恶意网站链接并作为flag提交, 格式flag{xx}
flag{http://192.168.44.105:8080/77sA8gJu1/QoYtjF}
4.题目找到计算机名称(主机名),作为flag提交,提交格式flag{}
flag{M2}
system查找主机名查看注册表hivelist
-o Virtrul为内存地址 printkey 打印信息
-K 后面跟路径
5.找到黑客注册的用户名,作为flag提交,提交格式flag{}
flag{SUPPORT_388945a0}
-o 后面跟要查询的内存地址-K 后面跟路径通过内存地址找到用户名SAM查找黑客用户名
https://blog.csdn.net/m0_68012373/article/details/127419463
https://blog.csdn.net/m0_58199719/article/details/127096081
https://blog.csdn.net/qq_60115503/article/details/124818819
获取当前系统 ip 地址
volatility -f 1.raw --profile=Win7SP1x64 netscan(获取IP地址)![某渗透测试比赛——windows内存取证答案详细解析]()
cmdscan显示cmd历史命令
原文始发于微信公众号(神农Sec):某渗透测试比赛——windows内存取证答案详细解析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论