2024年美亚杯内存检材链接：2024年美亚杯内存镜像

链接: https://pan.baidu.com/s/15FvsdcJr-B0x3CUL-S-eqA?pwd=jeay 提取码: jeay

以下内容先是来自作者Tokeii对Lovelymem软件的介绍，具体实操演示视频可以转到Tokeii作者B站链接https://www.bilibili.com/video/BV1z912YpECB

Lovelymem介绍与基本使用方法

带符号表完整下载地址：

https://pan.baidu.com/s/1Gcp3BzXwoHHLGKABHivOkg?pwd=mzy0

本软件作为一款专为Windows打造的内存取证综合工具，通过设计开发简洁易懂的图形化界面，为大家提供更加舒适的内存取证体验。

套个盾

软件采用Python 2和Python 3调用volatility 2和volatility 3，通过命令直接调用memprocfs，没有在这些软件的基础上进行二次开发，且不违反相关开源协议。加密混淆的代码仅用于界面UI和方便取证的相关代码。

界面介绍

左侧为功能槽，合并了常见的三个内存取证工具

右侧上方为文件槽用于展示导出的文件，也对应软件目录下的output文件夹

右侧下发为正则槽，可以通过自定义编辑对一些常见的导出的文件进行快速检查

预设槽为对一些常见的命令进行多线程的执行

右上角从左到右四个按钮依次为

更换主题、最小化、最大化、关闭退出

基本操作

一般来说点击导入镜像之后选择对应的内存文件即可

点击之后，如果没有下载完整的符号表就会从windows的符号服务器去下载对应镜像的符号表，下载时间与网络情况有关

若加载完毕则会有如下提示

注:命令输出中的加载镜像为memprocfs的加载内容，若加载失败，不影响vol2，vol3的使用

加载完毕后文件槽中会加载一些常见的该内存的相关资源

对于volatility2：在导入内存后volatility2会自动执行imageinfo，自动获取最佳的profile，根据内存大小不同耗时不同，最高版本支持windows10 19041(大部分情况下是正确的，具体准确版本参考文件槽中的系统信息)

对于volatility3:在高级菜单下有一个强制重置vol3缓存按钮，这个按钮是将vol3的符号表强制切换到软件的Tools下的vol3符号表文件夹下面并强制重置索引，也是说会强制我准备的符号表，若师傅本身有更完整更丰富的符号表可以不需要点击此按钮

若要卸载镜像，可以先点击打包或者清空文件槽，然后点击卸载镜像按钮即可

软件支持三种文件导出方式

1.memprocfs

选择memprocfs下面的所有文件或NTFS文件时间线，等待内容加载后，右键Text列中的某一项点击打开文件所在目录即可跳转到对应的目录下(有偶发性bug，后期会修复，其实只要是路径右键有这个选项都可以跳转不一定是Text列)

然后手动复制文件到你想要的目录

2.volatility2 dumpfile导出

软件将dumpfile和filescan合并到了VOL2-基本功能-文件扫描(filescan)下面

通过对应文件右键offset列选择导出该文件，会自动执行dumpfile的操作，文件放在output文件夹下

注:这个地方的offset为10进制数，若题目问某某文件的offset请自行计算或自行执行filescan

3.volatility3

参考vol2的方法，也是文件扫描后右键offset列

这里推荐使用memprocfs分类下的进程信息，vol2，vol3点击对应按钮即可

右键pid列可以对对应的进程进行相对应的操作

GIMP打开程序内存，就是CTF中常见的内存转储转data，然后用gimp打开，可以看到一些窗口的图像，这个地方做到了一键化，有三个途径，其中memprocfs取得比较干净有时候可能没有东西，这里推荐使用vol2和vol3途径

转储进程为可执行文件，就是把进程转为exe

复制该程序所需的所有文件为从内存中将该文件的所有调用的dll,sys全部复制到output文件夹下

句柄信息，该程序的handle

权限表示，该程序所使用的权限

点开服务列表，右键对应服务的Ordinal列

可以把对应服务的注册表内容复制到output下面，且会打开相对应服务注册表简要信息

点击任务列表

右键Taskname列，可以导出对应task的注册表内容，同上述服务

特色功能

顾名思义，为存放文件的地方，这个地方的主要操作为右键

右键快速打开文件，打开output目录

扩展里面为载入的插件，对应插件在目录extensions下，为开源部分，内有示例插件可以进行二次开发

目前的插件有：

文件base64转换解码

文件hash值计算

注册表转csv

系统日志转csv

调用AI分析该文件

文件头分析(@b3nguang)

可以对已经产出的文件进行快速检查

可以自行添加正则表达式，选择文件，进行添加，该数据保存在本地

主要用于快速执行一些命令，比如我要看pslist,filescan,console

在预设槽里面将内容添加好点执行预设，就会多线程同时执行

如果要添加预设，直接在左侧的功能区域右键选择添加到预设即可

预设槽plus,想法是根据流程执行想要的内容

想法是配合上面的任务编排，执行后点击报告编辑器，使用预设的模板直接输出想要的内容，还在开发中，但目前功能可用，可自行自定义编辑模板

在解题前需要注意的是安装的软件和内存镜像文件位置不能有中文路径，不然会报错。有了lovelymem软件基本使用方法后，接下来我们进入使用lovelymem软件一把梭2024年美亚杯内存镜像环节：

你根据易失性(Volatility Level)优先次序,进行内存取证分析David的笔记本电脑｡

1.参考RAM_Capture_David_Laptop.RAW,以下哪一个不是程序"firefox.exe"的PID?

A:9240;

B:8732;

C:5260;

D:3108

答案：C

步骤：

1.使用lovelymem加载镜像文件

2.加载完成

3.使用Vol3 中的 进程列表

4.在搜索框使用“firefox.exe”关键词进行搜索得。得出PID号为5260不符。

2.参考RAM_Capture_David_Laptop.RAW,找出PID:724的程序,其哈希值 (SHA-256) 是?

答案：89cf04b53119d36654bc5e7eeb5d0829a84238ee03faa9a03948f5bf4be44583

1.搜索PID号724

2.在PID列右键进程转储-进程转储为可执行程序（volatility3）

3.可以在控制台看到转储的路径，在文件槽中打开文件所在的目录，再使用哈希计算工具计算之

3参考RAM_Capture_David_Laptop.RAW,哪一个是执行PID:724程序的SID?

A:S-1-1-0;

B:S-1-2-0;

C:S-1-5-21-1103701427-1706751984-2965915307-1001;

D:S-1-5-21-1103701427-1706751984-2965915307-513

答案：A

步骤：1.选择进程SID号

2.搜索724 可以看到SID号 在选项中只有A选项符合。

4.参考RAM_Capture_David_Laptop.RAW,账户David Tenth的NT LAN Manager的哈希值(NTLM Hash) ?

(答案格式:只需使用全部小写及阿拉伯数字回答)

答案：e14a21fefc5dd81275bb87228586cffc

步骤：1.选择密码哈希转储

2.可以得出该账号的ntlmhash

 

 

原文始发于微信公众号（小谢取证）：Lovelymem一把梭2024年美亚杯内存取证（Lovelymem软件使用详细步骤+软件+检材链接）