内存取证初探

admin 2022年1月19日01:55:28程序逆向评论82 views1045字阅读3分29秒阅读模式

0x00准备

一般使用软件为volatility,kali自带,也可以到项目地址:https://github.com/volatilityfoundation/volatility下载安装

0x01常用命令

一般ctf内存取证题目中会给出镜像文件,后缀为.raw、.vmem、.img、.data几种格式,本地可以用dumpit.exe保存内存信息为raw文件。

题目文件是安洵杯的一道内存取证题,题目下载地址:链接:https://pan.baidu.com/s/1IQqpaBk7OXsj8BW0h3OShw 提取码:mz1l

1、获取镜像的基本信息

volatility -f mem.dump imageinfo

内存取证初探


留意Suggested Profile(s)项,软件给出的建议是以下系统的镜像

2、获取进程信息

volatility -f mem.dump --profile=Win7SP1x64 pslist

内存取证初探

3、获取cmd历史命令

volatility -f mem.dump --profile=Win7SP1x64 cmdscan

内存取证初探

看到有一个flag.ccx的文件,提示密码和Administrator密码相同,提取flag.ccx文件

4、搜索文件

volatility -f mem.dump --profile=Win7SP1x64 filescan | grep flag.cc

内存取证初探

获得文件qid之后可以文件dump下来查看


5、dump文件

volatility -f mem.dump --profile=Win7SP1x64 dumpfiles -Q 0x000000003e435890 -D ./

内存取证初探

6、查看注册表信息

volatility -f mem.dump --profile=Win7SP1x64 printkey -K "SAMDomainsAccountUsersNames"

内存取证初探

7、获取密码哈希

volatility -f mem.dump --profile=Win7SP1x64 hivelist

内存取证初探


volatility -f mem.dump --profile=Win7SP1x64 hashdump -y 0xfffff8a000024010 -s 0xfffff8a001590010

内存取证初探


得到的hash拿去解码

内存取证初探

之后用进程中的cncrypt解密flag.ccx得到flag:flag{now_you_see_my_secret}

0x02总结

volatility除了常用命令外还有很多实用的功能,在内存取证会经常用到


原文始发于微信公众号(广软NSDA安全团队):内存取证初探

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月19日01:55:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  内存取证初探 https://cn-sec.com/archives/743224.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: