内存取证例题练习

admin 2025年5月26日19:50:35评论12 views字数 2222阅读7分24秒阅读模式

1

分析镜像系统,Win7SP1x64

内存取证例题练习
image-20250425203016102

看用户名账密

内存取证例题练习
image-20250425203304869

解密得到qweasd!123

内存取证例题练习
image-20250425204116741

看内存进程,没啥东西

内存取证例题练习
image-20250425204627527

工具mount挂在1文件

内存取证例题练习
image-20250426154913056

一串编码

内存取证例题练习
image-20250426154950145

使用notepad++的自带插件,对hex进行解码ascii形式

内存取证例题练习
image-20250426161357647

分析发现有base编码,使用base58解码得到flag{831b5f4d1c7cd200e23e4cc3ec8538fb}

内存取证例题练习
image-20250426161406695

2

密码都是空

内存取证例题练习
image-20250426164211694

有个可疑进程

内存取证例题练习
image-20250426165028073

提取

内存取证例题练习
image-20250426165218051

strings打印出,兔子洞,但是有提示

内存取证例题练习
image-20250426165406323

根据提示找jpg文件

内存取证例题练习
image-20250426165909062

提取图片

内存取证例题练习
image-20250426170018389

foremost分离图片,发现里面还有压缩包,解压得到另一个镜像

内存取证例题练习
image-20250426170228788

是个ext2磁盘文件

内存取证例题练习
image-20250426170311134

挂载

内存取证例题练习
image-20250426170548826

hint.txt是一堆坐标

内存取证例题练习
image-20250426170617479

用kali的工具画图gnuplot ,得到一张二维码

内存取证例题练习
image-20250426170830390

解码

Here is the vigenere key: aeolus, but i deleted the encrypted message。

内存取证例题练习
image-20250426173813999

翻找其他位置文件,swp,是vim编译意外中断产生

内存取证例题练习
image-20250426174012721

恢复文件,打开

内存取证例题练习
image-20250426174325011

根据上面的key进行解码,得到yeet!just_find_and_solve

内存取证例题练习
image-20250426174553126

3

看密码asdqwe123

内存取证例题练习
image-20250426191608629

列出进程,又看到一个特殊的进程

内存取证例题练习
image-20250426193419823

dump下来

内存取证例题练习
image-20250426193532181

foremost文件,看有没有藏什么东西

内存取证例题练习
image-20250426193656415

有个解压包,需要密码

内存取证例题练习
image-20250426195306691

mimikatz的密码来回尝试,几经周折都没成功

文件拉取到物理机才发现提示

内存取证例题练习
image-20250426204740070

进行sha256加密

内存取证例题练习
image-20250426204815842

两张图片

内存取证例题练习
image-20250426204845696

立马联想到MISC的盲水印知识点

内存取证例题练习
image-20250426210203157

用Stegsolve打开

得到hgame{7he_f1ame_brin9s_me_end1ess_9rief}

内存取证例题练习
image-20250426210441485

4

老样子先抓一下密码

内存取证例题练习
image-20250426211229523

pslist看进程,也是有个notepad(记事本快捷打开)

内存取证例题练习
image-20250426211352987

cmdline:进程的命令行参数

vol.py  --file=/root/tutu/4/4.raw --profile=Win7SP1x64 cmdline
内存取证例题练习
image-20250426211836771

查看位置

内存取证例题练习
image-20250426211954716

dump下来

内存取证例题练习
image-20250426212058777

cat

内存取证例题练习
image-20250426212132237

解压得到

内存取证例题练习
image-20250426212241260

提示需要LastPass,装了插件用不了,奇怪

看解压文件类型

cookies是个sql

内存取证例题练习
image-20250426214518324

文件尾部有个工具,待会可能要挂载,还要个密码

内存取证例题练习
image-20250426220052331

而且这个解压的文件有内存,但是里面没有东西,这个坑一直没解决

内存取证例题练习
image-20250426220332810

最终在这里找到办法

内存取证例题练习
image-20250426221827166

隐藏文件也显示了

windows运行mimikatz

先获取获取MasterKey

内存取证例题练习
image-20250426222339739

然后就是从cookie找密码

得到!bWjAqM2z!iSoJsV*&IRV@*AVI1VrtAb

内存取证例题练习
image-20250426222500078

挂载,这个还真是,知道密码,还得用相同的挂载软件才能用

内存取证例题练习
image-20250426222700248

这边我用kali的挂载

ads图片

内存取证例题练习
image-20250426224228077

对该文件进行misc的知识一直没找到,最后还是百度

内存取证例题练习
image-20250426224835532

用工具扫

内存取证例题练习
image-20250426224902375

得到hgame{Which_0nly_cryin9_3yes_c4n_de5cribe}

原文始发于微信公众号(hutututu):内存取证例题练习

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日19:50:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内存取证例题练习https://cn-sec.com/archives/4004979.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息