2018护网杯内存取证
作者:Swback
知乎:https://www.zhihu.com/people/back-88-87
CSDN:https://blog.csdn.net/qq_30817059
#查看profile
volatility -f easy_dump.img imageinfo
# 查看进程 发现notepad.exe
volatility -f easy_dump.img --profile=Win7SP1x64 pslist
# 查找文本文档 并未发现有用信息
#查找常见文件 发现一张图片
volatility -f easy_dump.img --profile=Win7SP1x64 filescan |grep "txt\|png\|gif\|jpg\|jpeg\|zip\|rar\|7z\|Downloads\|Desktop"
#导出之后,发现图片存在异常
binwalk file.None.0xfffffa8008355410.vacb
#通过binwalk -e 分理出一个压缩包和img镜像
#通过md5比对,压缩包内的文件就是img文件
#通过文本文档打开发现里面还有内容 应该还有一个hint.txt 和.message.swp
#接着通过binwalk -e 分离文件 得到0.ext(这个文件和上述图片内容一样) 和一个文件夹
binwalk -e message.img
#在文件夹中发现hint.txt和一个隐藏文件夹 打开hint.txt内容应该是坐标
#通过python 将坐标转化为图片
import matplotlib.pyplot as plt
import numpy as npx = []
y = []
with open('hint.txt','r') as f:datas = f.readlines()for data in datas:arr = data.split(' ')x.append(int(arr[0]))y.append(int(arr[1]))plt.plot(x,y,'ks',ms=1)
plt.show()
二维码不知道为什么一直显示违规,就不放了
#识别二维码得到维吉尼亚的密钥"aeolus",现在应该找到维吉尼亚的密文。
关于.Trash文件夹的描述自行百度。
#在files文件夹下发现.message.swp
#vim打开.message.swp 是乱码
#查看下16进制字符串
strings .message.swp 最后一句应该就是维吉尼亚,通过二维码获得的密钥`aeolus`解密得到flag
2018护网杯内存取证相关推荐
- 2018护网杯第一场 web easy tornado LTshop超详细解答
easy tornado 这个tornado是一个python的模板,在web使用的时候给出了四个文件,可以访问,从提示中和url中可以看出,访问需要文件名+文件签名(长度为32位,计算方式为md5( ...
- Otterctf 2018 内存取证
CTF 内存取证 https://otterctf.com/challenges 1- What the password? 问题:找到 Rick 的 密码: 先使用 imageinfo 判断系统版本 ...
- [护网杯 2018]easy_tornado WriteUp
打开环境发现有三个链接 分别点击 分别得到 flag.txt welcome.txt 以及hints.txt 看到网址后面有 file/filename= 等字样,以及出现的md5加密函数 初步猜测f ...
- 内存取证之volatility及案例演示
内存取证之volatility及案例演示 简介 volatility基础命令 案例讲解 [护网杯]Easy_dump [安洵杯]Administrator 's_secret 简介 Volatilit ...
- ctf内存取证----easy_dump
前一段时间又做了去年护网杯的内存取证题 第一次不参考任何wp提示,自己做,没想到做得挺顺利 Easy_dump writeup 解题步骤 Step 1 Volatility imageinfo 得知系 ...
- 苹果内存取证工具volafox
苹果内存取证工具volafox volafox是一款针对苹果内存取证的专用工具.该工具使用Python语言编写.该工具内置了overlay data数据,用户可以直接分析苹果10.6-10.11的各种 ...
- 命名空间不能直接包含字段或方法之类的成员_Linux内存取证:解析用户空间进程堆(中)...
上文我们对解析用户空间进程堆的动机和历史,做了一个简要的概述.另外,我们Glibc堆的3层结构也做了一些概述,这些结构是解析用户空间进程堆的关键.至于每个结构所起的作用,请看本文的分析. 内存视图 本 ...
- 内存取证——volatility命令
文章目录 前言 常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...
- [2021首届“陇剑杯”网络安全大赛 决赛]内存取证writeup
决赛不能联网-手上有只有vol2.6,这道题完全死了 文章目录 [2021首届"陇剑杯"网络安全大赛 决赛]内存取证 writeup 产品密钥 匿名邮箱 远控后门 数据清除时间 [ ...
最新文章
- python 实现函数的递归
- scrum回顾_133. 你最重要:2020版Scrum指南解读
- TreeView 控件帮助文件
- nginx部署两个php虚拟主机,nginx服务器,fastcgi模式,添加虚拟主机(多站点)配置...
- 开源TinyXML 最简单的新手教程
- Git 代码防丢指南,再也不怕丢失代码了!
- linux基础(二)——linux各文件夹含义和作用
- sql 截取字符串:
- CSS——简写属性(在padding和margin这样的简写属性中,值赋值的顺序是top、right、bottom、left)...
- Java:接口文档示例
- Oracle客户端安装简易教程
- SL8100 3.6V~100V降压型大功率LED恒流驱动器
- 黑鲨重装计算机安装无法继续,图解黑鲨装机大师装机失败无法开机怎么办?
- mysql 复制方式_MySQL数据库复制表的几种方式讲解
- Angular之生命周期函数
- Guava源码解析五:Splitter源码解析
- 最新单片机设计选题合集
- 深入学习理解Java集合
- mac上的PCB设计软件现状
- 51 单片机 点阵 LED 显示屏程序