Lovelymem介绍与基本使用方法
软件概述:
LovelyMem 是一款专为 Windows 系统设计的内存取证综合工具,旨在提供简洁、易用的图形化界面,提升用户的内存取证体验。通过优化的用户界面,用户能够轻松进行内存分析和相关操作,无需复杂的命令行操作,便捷高效地完成内存取证工作。(感谢Tokeii佬)
技术背景:
该软件通过 Python 2 和 Python 3 调用 Volatility 2 和 Volatility 3 进行内存分析,并通过命令行直接调用 memprocfs。值得注意的是,LovelyMem 在这些现有工具的基础上并没有进行二次开发,同时遵循开源协议,确保不违反相关规定。加密和混淆的代码仅应用于界面 UI 的实现以及便于取证过程的功能代码,并未影响核心功能的操作。
界面功能:
LovelyMem 提供了一个直观且简洁的图形化界面,用户无需掌握复杂的命令行指令即可轻松进行内存取证。界面设计以用户为中心,包含了多个便捷的功能模块,旨在帮助用户高效地进行内存取证和数据分析。
LovelyMem 操作界面说明界面布局:左侧功能槽:集成了常见的三个内存取证工具,用户可以方便地选择并进行操作。右侧上方文件槽:用于展示已导出的文件,且与软件目录下的output 文件夹相对应。此区域方便用户查看导出的分析结果和数据。右侧下方正则槽:提供了自定义正则表达式的功能,用户可以编辑和使用正则表达式快速检查一些常见的导出文件,进行灵活的数据筛选和分析。预设槽:用于快速执行一些常见命令,通过多线程并行处理加快取证过程。右上角按钮(从左到右):更换主题:允许用户切换软件界面主题,定制更符合个人喜好的界面风格。最小化:将软件窗口最小化,暂时隐藏在任务栏。最大化:将软件窗口扩展至全屏显示,方便查看所有操作内容。关闭退出:关闭软件并退出程序。
1、从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);
加载镜像
flag{admin,dfsddew}
2、获取当前系统 ip 地址,以 Flag{ip}形式提交;
通过扫描网络进程看到主机在和另一个IP互动,得到主机IP
flag{192.168.85.129}
3、获取当前系统浏览器搜索过的关键词,作为 Flag 提交;
flag{admin@file:///C:/Users/admin/Desktop/flag.txt}
4、当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;
挖矿进程,既然是挖矿那肯定是和主机能通信建立了连接的,在前面看了和主机建立连接的就一个
flag{54.36.109.161:2222}
5、恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。
通过进程列表找到父进程(ppid)
查找服务加过滤,得到服务名
flag{VMnetDHCP}
目前已开源
原文始发于微信公众号(信安一把索):图形化内存取证工具 - Lovelymem
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论