翻译:Powershell脚本由恶意程序执行。包含power shellscript内容的注册表项是什么?

题目要求找到powershell执行的脚本储存的注册表地址

使用到工具 volatility、Windows Registry Recovery

解题过程

使用工具volatility。 volatility工具的安装文章我也写了,不了解的可以看看

首先查看镜像的系统信息,得到版本是Win7SP1x64

volatility_2.6_win64_standalone.exe -f .\memory.dmp imageinfo


根据题目的文字说明,涉及修改的注册表,于是将镜像的注册表项导出进行查看。

 volatility_2.6_win64_standalone.exe -f memory.dmp --profile=Win7SP1x64 dumpregistry --dump-dir ./

对于注册表,使用工具Windows Registry Recovery进行查看。

翻看 SOFTWARE 的敏感目录 \Microsoft\Windows ,在communication处发现恶意注册表
最终flag: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Communication

强网杯2021 BlueTeaming (内存取证)相关推荐

  1. 强网杯2021 CipherMan (内存取证分析)

    一个磁盘镜像,一个内存镜像 攻击者恶意访问用户的PC和加密的特定卷.如何解密卷? 使用工具volatility.首先查看镜像的系统信息,得到版本 python vol.py -f memory ima ...

  2. 强网杯2021 ctf线上赛ezmath wp(#超详细,带逆向新手走过一个又一个小坑)

    文章目录 引言 一.分析文件类型 二.初步分析 1 运行情况 2 IDA初步分析 三.详细分析 1 sub_13F3函数分析 2 查找蛛丝马迹 (1)mprotect (2)重写unk_2010 3 ...

  3. 强网杯2021 misc 复现

    对强网杯BlueTeaming.ISO1995.CipherMan.Threebody的复现 (纯萌新学步) 可以参考mumuzi大佬的wp https://blog.csdn.net/qq_4288 ...

  4. [强网杯2021]XBUUCTF[QWB2021 Quals]popmaster复现记录

    给自动化代码审计的大佬跪了. 出题人写的WP在这里:强网杯[pop_master]与[陀那多]赛题的出题记录 复现可以到BUUCTF,启动[QWB2021 Quals]popmaster这道题就ok. ...

  5. 强网杯2021 pwn部分wp

    baby_diary: 本题考查2.31的off by one, 漏洞处如下: 在sub_146e中会将输入数据的ASCII码相加再相加相加-直到变成一个byte的数字, 然后加到输入数据的后一位上, ...

  6. 强网杯2021 [强网先锋]orw

    orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 因为不是FULL RELRO所以就考虑改got表为shell ...

  7. [ctf misc][wp]一些内存取证的wp(含[2021蓝帽杯北部赛区分区赛]博人的文件)

    wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 v ...

  8. [2021首届“陇剑杯”网络安全大赛 决赛]内存取证writeup

    决赛不能联网-手上有只有vol2.6,这道题完全死了 文章目录 [2021首届"陇剑杯"网络安全大赛 决赛]内存取证 writeup 产品密钥 匿名邮箱 远控后门 数据清除时间 [ ...

  9. 2021第五届强网杯部分writewp

    第五届强网杯部分题解 web-最后两道是师弟做得 pwn-by-RGDZ 菜鸡简单记录一下本次比赛.持续更新 文章目录 第五届强网杯部分题解 前言 一.Web 1.1Web1 [强网先锋]寻宝 操作过 ...

最新文章

  1. 薪资被「倒挂」,别慌,咱们用实力说话
  2. 解决Sublime Text打开C++文件出现中文乱码
  3. 免费天气预报短信服务
  4. linux进程间的通信(C): 共享内存
  5. Android 视频通话
  6. C/C++混淆点-转义字符
  7. CAShapeLayer的使用[1]
  8. 计算机系英文简历技能skill,如何填英文简历中SKILL选项
  9. python difflib模块_Python一起来找茬—difflib模块
  10. mysql strchr_PHP字符串函数之 strstr stristr
  11. mysql建表语句外键_mysql里面用语句怎么建立表外键的命令
  12. matlab如何动态输出很长的图片,Qt实现长图片的放大缩小以及动态显示
  13. 数模算法:模糊综合评价模型
  14. DIY-希捷硬盘固件问题的解决方法
  15. 计算机不同用户共享文件,如何为不同账户设置共享文件的不同访问权限
  16. Dns数据包内容分析
  17. windows操作系统---1
  18. Django第三方登录
  19. 大街上数字标志图片_大街上的开放组织
  20. Selenium模拟浏览器访问

热门文章

  1. Fixed: MacOS Mojave(10.14) 解决终端用Crontab报权限问题(不管是Root还是普通用户)及Linux基础(shell)...
  2. 作《互联网时代的软件革命--SaaS架构设计》上市了
  3. 6年Microsoft MVP,是否还能坚持4年?
  4. Linux集群和自动化维3.1 Python语言的应用领域
  5. Linux档案属性与目录配置
  6. exit()函数详解与Exit() 和 Return() 的区别
  7. 高清电影如何加载字幕【解决】
  8. oracle sequrnce_OracleSql语句学习(五)
  9. Power Query 应用领域有哪些?
  10. 8、Power Query-合并查询详解