CTF题记——取证小集合
前言
最近接触到的取证类题目很多,所以就总结一下这类题。
不得不提的是Volatility这个神器,本次学习,结合几个题目总结一下命令使用。还有一些大师傅的博客学来的知识。
"食用"方法
判断镜像信息,获取操作系统类型
volatility -f ?.img/raw/... imageinfo
知道操作系统类型后,用–profile指定
volatility -f ?.img --profile=...
查看当前显示的notepad文本
volatility -f file.raw --profile=WinXPSP2x86 notepad
查看当前运行的进程
volatility -f file.raw --profile=WinXPSP2x86 psscan/pslist
扫描所有的文件列表(常常结合grep)
volatility -f file.raw --profile=WinXPSP2x86 filescan
根据offset提取出文件
volatility -f file.raw --profile=WinXPSP2x86 dumpfiles -D . -Q 0x.....
扫描 Windows 的服务
volatility -f file.raw --profile=WinXPSP2x86 svcscan
查看网络连接
volatility -f file.raw --profile=WinXPSP2x86 connscan
查看命令行上的操作
volatility -f file.raw --profile=WinXPSP2x86 cmdscan
根据pid dump出相应的进程
volatility -f easy_dump.img --profile=Win7SP1x64 memdump -p 2580 -D 目录
常用命令
题目
湖湘杯(取证)
一个G的raw文件,工具分析就行了。
使用
#使用imageinfo参数查看内存是什么系统的镜像
volatility -f men.raw imageinfo #profile=Win7SP1x86_23418
#直接查看用户名和密码hash
volatility -f men.raw --profile=Win7SP1x86_23418 hashdump
然后看到三个用户
使用彩虹表暴力猜解
hash猜解
密码是qwer1234
题目是说的sha1(password)
所以再进行加密一下就可以了
BUU内存取证(VN)
首先查看镜像信息
列出进程,一般使用pslist
当然还有其他的,pstree
和psscan
记几个重要的地方,一般是notepad.exe、TrueCrypt.exe 、mspaint.exe、iexplore.exe 、DumpIt.exe
简单介绍:
mspaint.exe
是一个画图软件
notepad.exe
是记事本,一般记事本中会有内容hint或者在内存中(还未保存)
DumpIt
是一款绿色免安装的 windows 内存镜像取证工具。利用它我们可以轻松地将一个系统的完整内存镜像下来,并用于后续的调查取证工作。
TrueCrypt.exe
先将这些可疑进程dump下来。进行进一步的分析
volatility -f mem.raw --profile=Win7SP0x86 memdump -p 2648 --dump-dir=./
类似这样的,先分析画图的,需要使用一个工具gimp
在linux中相当于photoshop一样的软件,直接安装就可以
#在root权限下
apt-get update
apt-get install gimp
然后打开使用就可以了
https://segmentfault.com/a/1190000018813033?utm_source=tag-newest
这个师傅讲的如何使用这个软件。
刚打开时,是默认分辨率是0,高度和宽度都是350,先随便调节一下,大概就是三个变量值都先调低一点,然后慢慢调高。
调试很多次,慢慢调节出一些值,这个值可以参考windows系统自带画图软件的,我的是1628x440,修改一下,就开始改变分辨率就可以了。下图大概成型了
然后微调一下宽度就行,不过调过之后是反的,所以可以再调大一些,多调动尝试最佳角度。
拿到了一个字符串1YxfCQ6goYBD6Q
然后看下一步,提取记事本中的内容
这里介绍一个插件editbox
可以显示有关编辑控件的信息。
使用命令
volatility -f men.raw --profile=Win7SP1x86_23418 editbox
网盘链接得到了,提取码也得到了,就进行下一步
下载得到一个VOL文件
然后就是TrueCrypt,这个dump下来不用进行其他操作,成功挂载到F盘,里面看到key 文件
打开获得uOjFdKu1jsbWI8N51jsbWI8N5
这个就是VOL挂载加密的key,然后使用TrueCrypt对VOL进行正常解密,
下载安装TrueCrypt,我安装到物理机上面了,直接使用。
密钥填写一下,选择TrueCrypto模式
成功挂载
挂载后,可以在Z盘直接看到一个压缩包
打开需要密码,这个时候用到了画图时得到的密码。
easydump
来源:护网杯2018-MISC-easydump
.img
文件,也是一种内存镜像
使用取证神器直接跑
然后就是列出进程
pslist
最显眼的还是这个notepad.exe了
然后dump下来2580.dmp,binwalk查看,信息太多,直接foremost分离文件,里面发现有用的就是两个压缩包,解压是img文件。但是这个文件同样使用volatility去跑,确没有信息,所以判断这个不是内存镜像文件。
先strings看一下
发现好多信息,然后将img文件挂载在linux系统中,
mount -o loop message.img /root/Desktop/m0re
挂载后,可以切换到该目录进行查看信息
cd m0re/
ls -all #查看所有文件,一般隐藏信息较多
然后在.Trash-0/file
下看到一个.message.swp
转存一下
cat .message.swp > m0re.txt
strings m0re.txt
可能是密码什么的,保存一下
hint.txt文件里面都是坐标,猜测是要画图
之前保存过画图的python脚本
from PIL import Imagewith open('hint.txt','r') as f:points = f.readlines()pic=Image.new('RGB',(600,600),'black')
pix=pic.load()for i in points:i=i.strip().split(' ')pix[int(i[0]),int(i[1])]=(255,255,255)pic.save('out.png','png')
得到二维码
识别后得到
Here is the vigenere key: aeolus, but i deleted the encrypted message。
维吉尼亚密码,密钥是aeolus
密文不知道,前面的可疑字符串有可能是密文
得到结果。这个题就有点杂了。
总结
学到这里,内存取证的基础题已经可以应付了,这是第二次学习取证的知识,感觉很有意思。
参考博客
https://blog.xiafeng2333.top/ctf-25/
https://blog.xiafeng2333.top/ctf-11/
https://segmentfault.com/a/1190000018813033?utm_source=tag-newest
CTF题记——取证小集合相关推荐
- lpc2000 filash utility 程序烧写工具_重点必看 | 取证小程序开发之第四届美亚杯硬盘信息快速解题...
告别金秋十月,迎来仲冬十一月,同时迎来的是首届电子数据取证小程序大赛.随着投稿截止时间的一天天到来,越来越多的用户参与到本次小程序大赛,用自己的力量参与取证知识创新,为营造良好的取证技术生态赋能. 上 ...
- CTF题记——暑假计划第一周
本文目录 前言 Web [强网杯 2019]随便注 技能树HTTP协议基础认证 技能树目录遍历 bak文件 [极客大挑战 2019]EasySQL [极客大挑战 2019]Havefun [RoarC ...
- java将大集合按照固定长度拆分为小集合
我们在使用java中的集合(Collection.List.Set等)的时候,可能因为某种限制需要将大集合按照固定的长度拆分为N个小的集合. 如:有一个List<String> list ...
- Java把一个大集合拆分成多个小集合,可以利用多线程提升并发处理效率
场景: 在开发中,如果一个集合中的数据量特别大,那么对这个集合进行循环处理业务可能就会比较耗时,为了提升效率,可以考虑把大集合拆分成多个小集合,然后用多线程对拆分后的多个小集合进行处理 拆分: 1.拆 ...
- 代码调试技巧小集合(雨中飞燕出品)
// ************************************************************ // // 本文源自飞燕之家在线测评论坛http://yzfy.org/ ...
- Ubuntu常用软件安装(小集合)
跨平台系列汇总:http://www.cnblogs.com/dunitian/p/4822808.html#linux Linux包系列的知识:https://www.cnblogs.com/dun ...
- 集合拆成固定长度的小集合_《集合啦动物森友会》钓鱼怎么玩?钓鱼小技巧攻略分享...
<集合啦动物森友会>中钓鱼需要一定的技巧,在甩竿的时候必须把鱼饵甩到鱼能看的位置,并且还不能惊动其他的鱼,下面带来由"九幽荒翎"分享的<集合啦动物森友会>钓 ...
- 最新Hive/Hadoop高频面试点小集合
点击上方蓝色字体,选择"设为星标" 回复"资源"获取更多资源 Hive部分: 1.Hive的两张表关联,使用MapReduce怎么实现? 如果其中有一张表为小表 ...
- DEFCON 20 CTF 磁盘取证分析题目
这是一道取证分析题目,主要考察取证分析能力,包括磁盘文件恢复.图片文件修复.数据分析.图片隐写信息提取等. 本次实验题目地址:<DEFCON 20 CTF Quals Forensic 200& ...
- CTF题记——计划第一周
前言 大二上的计划第一次给自己交作业. Web 做SQL注入的题目有点拉垮,老老实实刷刷题吧. BabySQL 极客大挑战的题目--来源BUUCTF 测试一下,先看一下闭合符号是什么. ?userna ...
最新文章
- 游戏型计算机的配置表,爽玩游戏型详细配置列表及推荐理由
- ubuntu下永久设置文件句柄数和虚拟内存,不需重启
- Shell 脚本知识回顾 (四) —— Shell 命令及Shell 相关语句
- 【HDU - 2398 】Savings Account (水题模拟)
- 大蛋陪伴机器人_家长孩子都喜欢 阿尔法蛋大蛋2.0 AI学习机器人图赏
- asp/php招聘,招聘ASP与PHP相关岗位的笔经
- C++中使用剪贴板复制UNICODE/ANSI字符数据
- opencv 绘制图像直方图,实现直方图均衡化
- 亲测可用|奥维互动地图加载谷歌地图等图源的方法
- 软件工程与计算II-5-需求基础
- 二维码生成原理及解析代码
- jsp使用验证码及验证码的点击刷新功能的实现
- SQL2005安装错误1706,安装程序找不到需要的文件。请检查……,SQL没有安装OWC11”解决方法...
- 常州大学/教务系统/教室相关
- 台风怎么看内存颗粒_光威TYPE普通马甲内存条,南亚ADIE HR颗粒稳超3200MHZ
- 机器学习笔记1.矩估计、极大似然估计。
- 拿R来画画(六):很漂亮的Cleveland点图
- 难受难受,真它吗的难受... ...
- Mac 上的 Alt 键是哪个?Alt 或 Option 键在 Mac 键盘上的作用是什么
- intellij idea中设置mybatis的xml配置文件的背景色
热门文章
- ubuntu桌面状态栏不见
- 我要开始记单词啦(定时记录背单词历程)
- [bzoj2434][AC自动机][树状数组]阿狸的打字机
- 【BZOJ2434】【NOI2011】阿狸的打字机(AC自动机及Fail树的性质,树状数组)
- 牛客补题 树 dsu on tree
- 未明学院:还没入职就被“裁员”,大批应届生遭千亿巨头强制解约! Sorry,秋招 Offer 我们决定撤回…
- Windows 10 下如何显示文件的后缀名
- Go_io.Reader
- c语言趣味菜单实验报告,DSP实验报告+心得体会
- opencv将16位灰度图片转化为8位