【CTF整理】电子取证之Easy_dump(18护网杯)
目录
- 电子取证之Easy_dump(18护网杯)
- 资源和连接
- 正文:
- 0x01
- 0x02
- 0x03
- 0x04
- 0x05
- 0x06
- 0x07
- 0x08
- 0x09
- 0x10
- 0x11
- 0x12
- 总结:
电子取证之Easy_dump(18护网杯)
资源和连接
原题资源:https://pan.baidu.com/s/1z73M2MRr6W6AfM57lomF-w
提取码:1tf5
声明:本题的解法众多,我在重温这道题的时候也是借鉴了很多大佬的文章,但是本篇文章的内容都是自己所做所写,仅供大家技术交流。
参考链接:
2018护网杯——easy_dump.
ctf内存取证----easy_dump.
2018护网杯 easy_dump.
正文:
知道题目的类型是电子取证里面的内存读取,那就首相想到的就是用volatility工具去分析,volatility工具的功能十分强大,这里简单介绍一下这个工具的使用。(工具自行安装也可以,但是kali自带)
windows下一般运行环境为python2,python2 vol.py [参数] 调用即可,我用linux举例
volatility -f easy_dump.img imageinfo
【获取内存操作系统】
volatility -f easy_dump.img kdbgscan
【获取内存操作系统
【imageinfo和kdbgscan这两个一般第一个最准确】
volatility -f easy_dump.img --profile=Win7SP1x64 netscan
【–profile参数指定镜像】
【内存网络扫描】
volatility -f easy_dump.img --profile=Win7SP1x64 amdscan
【读取cmd命令】
volatility -f easy_dump.img --profile=Win7SP1x64 pslist
【内存进程列举】
volatility -f easy_dump.img --profile=Win7SP1x64 hivelist
【列举内存注册表】
volatility -f easy_dump.img --profile=Win7SP1x64 -o 0xfffff8a0013fb010 printkey
【解析指定的注册表】
volatility -f easy_dump.img --profile=Win7SP1x64 -o 0xfffff8a0013fb010 printkey -K “ControlSet001\Control\ComputerName\ComputerName”
【获取主机名】
volatility -f easy_dump.img --profile=Win7SP1x64 -o 0xfffff8a0013fb010 printkey -K “SAM\Domains\Account\Users\Names”
【获取windows主机用户名】
volatility -f easy_dump.img mimikatz
【抓取用户密码】
volatility -f easy_dump.img filescan
【文件扫描】
volatility -f easy_dump.img filescan | grep “flag”
【配合grep文件扫描】
0x01
1、利用利用 volatility -f easy_dump.img imageinfo
查看镜像信息
看 Suggested Profile(s) 的值,猜测它最有可能是Win7SP1x64
的镜像【一般第一个最有可能】
然后后面就用参数 --profile
指定镜像为Win7SP1x64
0x02
2、利用 volatility -f easy_dump.img --profile=Win7SP1x64 psscan
指定镜像进行进程扫描
这道题这里使用 pslist
参数也可以把想要的东西找出
在这里发现这个notepad.exe ,想到看记事本里面的内容,寻找线索
0x03
3、利用volatility -f easy_dump.img --profile=Win7SP1x64 memdump -p 2616 -D ./
把记事本的内容导出来,可以看到导出文件2616.dmp
这里说一下两个参数:
procdump
:是提取进程的可执行文件
memdump
:是提取进程在内存中的信息
这里我们记事本里面的信息,所以用memdump
0x04
4、strings -e l 2616.dmp | grep "flag"
在2616.dmp里面直接搜flag有关的信息,得到下一个提示是jpg
0x05
5、那我们就开始内存文件读取搜jpg,volatility -f easy_dump.img --profile=Win7SP1x64 filescan | grep "jpg"
发现一个图片文件phos.jpg
导出来这个图片,file.None.0xfffffa8008355410.vacb【名称默认】
0x06
6、检查phos.jpg图片,图片看不了,使用binwalk查看
binwlak file.None.0xfffffa8008355410.vacb
发现里面有zip文件
0x07
7、分离zip文件 foremost file.None.0xfffffa8008355410.vacb
分离后自动生成一个outpt文件,里面可以看分离出来的压缩文件
解压这个压缩文件,可以得到message.img
文件,再次使用binwalk工具提取里面的文件
binwalk -e message.img
,即可得到隐藏在里面的hint.txt
文件,打开查看发现是一些数字
0x08
8、怀疑这些数字是坐标,于是上脚本转换一下试试 ,得到二维码图片
#脚本文件
import matplotlib.pyplot as plt
import numpy as npx = []
y = []
with open('hint.txt','r') as f:datas = f.readlines()for data in datas:arr = data.split(' ')x.append(int(arr[0]))y.append(int(arr[1]))plt.plot(x,y,'ks',ms=1)
plt.show()
0x09
9、识别这个二维码
得到两个消息,一个是维吉尼亚加密,秘钥是aeolus,一个是加密文件被删除了,所以我们需要恢复一下这个被删除的文件
0x10
10、使用testdisk恢复文件
这里介绍一下testdisk这个工具基本界面(kali自带)
testdisk工具介绍.
输入:testdisk xxx 即可进入软件内部操作
Proceed:继续
Quit:退出,关闭
[ Analyse ] 分析正确的分区结构并找到丢失的分区表
[ Advanced ] 文件系统工具
[ Geometry ] 更改硬盘类型
[ Options ] 修改高级选项
[ Quit ] 返回到硬盘检测
[ Type ] :改变文件系统的类型,这种修改并不会真正改变硬盘上的真正格式。
[Superblock] :列出超级块,这是文件系统的基本元数据。
[ List ] :列出所有文件,并复制(恢复)出来
[Image Creation] :对当前分区创建镜像文件
[ Quit ]:退出,返回
红色文件就表示已经删除的文件。当然你也可以选择一个红色的目录,表示恢复整个目录。
这里我直接用图说明操作过程:
输入 :testdisk message2.img
进入界面
红色为我们需要恢复的文件,选择它之后按小写的“c”进入下一个界面选择导出路径
选中之后按大写的“C”确定,然后即可导出文件
我直接恢复到桌面,这里显示复制成功
0x11
11、导出后需要使用 ls -a
查看,找到文件后直接strings
查看
0x12
12、发现一串字符串很像加密的维吉尼亚密码,用之前得到的秘钥解密
得到最终结果
累死我了写的。
总结:
工具volatility 的使用还是不熟练,binwalk和foremost等还有许多参数的作用没有记下,testdisk恢复工具第一次使用,后面还要多学学,熟悉熟悉。越学越觉得有很多东西不会,有很多需要学。上学需要努力,上班需要努力,学东西还要加把劲啊。
ps:上班体验很充实,虽然有时有些辛苦,但是很开心,同事们也很好,现阶段目标,努力一直在公司待下去,加油!
by 久违 2020.6.18 凌晨
【CTF整理】电子取证之Easy_dump(18护网杯)相关推荐
- 【CTF整理】Who are you (2017强网杯web题)
[CTF整理]Who are you (2017强网杯web题) 别人思路总结: 0x01 初探 打开网页就是一句"Sorry. You have no permissions." ...
- 电子取证初学者的一些建议,给临安师弟师妹的答疑贴。
1:从来没有接触过电子取证该如何开始呢 刷题就好了,可以看我的博客刷题. 2:ctf和电子取证哪个好深入 我个人觉得取证简单很多. 3:电子取证和CTF比赛的关系是啥捏? 攻防很大,取证很小,取证是分 ...
- 盘古石杯电子取证比赛WP
"盘古石杯"电子取证比赛WP 写在前面 刚刚比完了比赛,觉得自己还有很多东西没做过,现在趁着写WP的时候顺便复盘一下,望各位大佬指正. 2023年5月4日中午收到短信通知告诉我可以 ...
- 电子取证之服务器取证,本人小白第一次从pc取证到服务器,这里有一套例题分享给大家,所有解析我都尽可能全面具体,希望与各位同仁一起学习。(非常推荐!)
话不多说,先上链接,这个包含一个2G的服务器镜像和题目,原题是弘连公司的,致谢,此处纯粹分享解法供大家学习. 链接: https://pan.baidu.com/s/1p8T7Fez_VlnSqdzv ...
- 第四届长安杯电子取证大赛个人总结
第四届长安杯电子取证竞赛个人总结 P1ANT731 第四届长安杯竞赛检材VC容器SHA256计算 PS E:\2022Changancup> certutil -hashfile E:\2022 ...
- 四种电子取证软件的比较
2013年2月22日,中国国家统计局发布2012年国民经济和社会发展统计公报,公报显示截止到2012年年末,全部互联网上网人数5.64亿人,其中宽带上网人数5.30亿人,互联网普及率达到42.1%.这 ...
- osx平台电子取证仿真实验
forensics - make virtual machine with E01[ewf] files on OSX 2---- 电子取证 MAC OS平台仿真2 提示:和另一篇文章不同的思路,有新 ...
- 【电子取证篇】中华人民共和国社会公共安全行业标准(GA/T)
[电子取证篇]中华人民共和国社会公共安全行业标准(GA/T) 电子取证相关的"中华人民共和国社会公共安全行业标准"-[suy] 文章目录 [电子取证篇]中华人民共和国社会公共安 ...
- 第四届 WJB电子取证比武资格赛 服务器题分析
第四届 WJB电子取证比武资格赛 服务器题分析 文章目录 第四届 WJB电子取证比武资格赛 服务器题分析 仿真 system.vmdk 1. 当事人服务器镜像的MD5哈希值为?(标准格式:e10adc ...
- kali 安装volatility_电子取证技术之实战Volatility工具
原标题:电子取证技术之实战Volatility工具 本文转载自公众号:安全龙 作者:beswing Volatility 的安装 这次讲的是在linux下的取证,所以我安装的也是linux平台下的Vo ...
最新文章
- 一万年太久,只争朝夕
- 基于centos4.4的mg手工下载RPM包安装顺序记录
- Mio C220破解问题
- 配置管理小报110904:htpasswd: The file passwd does not appear to be a valid htpasswd file.
- 对 SAP Spartacus 进行服务器端构建时,编译的资源列表
- linux命令格式与快捷键
- RTT的IPC机制篇——邮箱
- “手把手教你学linux驱动开发”OK6410系列之01---模块编程
- Spring Boot Test 进行JPA 测试保存数据到数据库
- Linux比windows生态好,试装国产统一系统UOS:操作比Windows更简便,但生态依然是缺点,...
- 数字蝶变,离不开云原生“苍穹”
- 2017-11-28
- 自动生成xml报文_使用python如何给xml报文进行签名 signXML库
- 质量管理体系文件分类
- C语言系列1——hello world
- 视觉SLAM十四讲CH9代码解析及课后习题详解
- 网站开发之HTML基础知识及超链接(二)
- 赴日IT派遣,如何避免入坑
- TP90、TP95、TP99性能指标含义及计算
- 在线房屋收租app开发优势