内存取证 - 练习篇3(Lovelymem一把梭)

admin
admin
admin
139164
文章
114
评论
2025年4月21日00:44:29评论6 views字数 814阅读2分42秒阅读模式
Windows 内存取证 .raw
内存取证 - 练习篇3(Lovelymem一把梭)
1、请提交内存中恶意进程的名称(pslist)
2、请提交恶意进程写⼊的⽂件名称(不含路 径)(memdump)
3、请提交admin账户的登录密码 (hashdump)
4.请提交在桌⾯某⽂件中隐藏的flag信息,格式:flag{...}
解题思路
1、请提交内存中恶意进程的名称(pslist)
Lovelymem启动!!!查看进程列表
内存取证 - 练习篇3(Lovelymem一把梭)
打开表文件找可疑进程
内存取证 - 练习篇3(Lovelymem一把梭)
我想正常的进程应该没有叫powershe11.exe的吧
2、请提交恶意进程写⼊的⽂件名称(不含路径)(memdump)
上面找到了恶意进程直接右击进程的PID导出
内存取证 - 练习篇3(Lovelymem一把梭)
导出发现是一个乱码的图片,转字符串查找一下关键字
内存取证 - 练习篇3(Lovelymem一把梭)
转字符串之后打开一下
内存取证 - 练习篇3(Lovelymem一把梭)
我嘞个豆啊,2W页,直接过滤关键字写入文件也就哪几种方法echo、>、>> 全局搜索
内存取证 - 练习篇3(Lovelymem一把梭)
找到hilyary.txt  ⼀般像这种,外⾯可以直接检索⼀些常⻅的后缀,⽐如.php、.txt之类的。 像windows内存取证,常⻅的可以检索E:和D:和C:之类的键符
3、请提交admin账户的登录密码 (hashdump)
mimikatz猕猴桃秒了
内存取证 - 练习篇3(Lovelymem一把梭)
123456
4.请提交在桌⾯某⽂件中隐藏的flag信息,格式:flag{...}
找桌面的文件,直接把全盘文件都列出来
内存取证 - 练习篇3(Lovelymem一把梭)
过滤Desktop 设置行数都在一页里面
内存取证 - 练习篇3(Lovelymem一把梭)
看到桌面上面就一个图片导出出来看看
内存取证 - 练习篇3(Lovelymem一把梭)
打开看看,关键字过滤
内存取证 - 练习篇3(Lovelymem一把梭)

flag{welc0me_to_2023_chinaskills}

到这里就结束了。补充一点关于lovelymem的更新问题,从资源包里面下载的是有启动器的,更新需要去Tokeii佬的GitHub上面下载文件解压拖进启动器的文件夹里面把原来的文件替换掉,就等于更新完成了

地址:https://github.com/Tokeii0/LovelyMem

大家记得给Tokeii佬点点started

内存取证 - 练习篇3(Lovelymem一把梭)
欢迎大家进群讨论

原文始发于微信公众号(信安一把索):内存取证 - 练习篇3(Lovelymem一把梭)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月21日00:44:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内存取证 - 练习篇3(Lovelymem一把梭)https://cn-sec.com/archives/3977024.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息