BMZCTF:内存取证三项

已于 2022-08-18 15:41:10 修改 1473 收藏 9
分类专栏: CTF_MISC_Writeup 文章标签: 内存取证 volatility
于 2021-01-23 00:52:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/113009408
版权 
http://bmzclub.cn/challenges#%E5%86%85%E5%AD%98%E5%8F%96%E8%AF%81%E4%B8%89%E9%A1%B9

文章目录

在这里插入图片描述

内存取证三项.txt

一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑也不管自己在电脑上留下的操作急忙离开电脑,故作淡定的说:“我就是随便看看”。 
1.小黑写的啥,据说是flag?
2.那么问题来了,小白的密码是啥?
3.小黑发送的机密文件里面到底是什么

在这里插入图片描述
将内存镜像文件解压出来,改名为memory.raw

volatility -f memory.raw imageinfo

在这里插入图片描述

volatility -f memory.raw --profile=WinXPSP2x86 pslist

在这里插入图片描述

第一项:小黑写的啥,据说是flag?

pslist发现可疑进程notepad.exe,尝试加载notepad模板显示写了些啥

PS D:\Tools\Misc\volatility_2.6_win64_standalone> .\volatility.exe -f .\L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 notepad
Volatility Foundation Volatility Framework 2.6
Process: 280
Text:
?

Text:
d

Text:


Text:
?

Text:
666C61677B57336C6563306D655F376F5F466F72336E356963737D

PS D:\Tools\Misc\volatility_2.6_win64_standalone>

>>> from binascii import *
>>> unhexlify('666C61677B57336C6563306D655F376F5F466F72336E356963737D')
b'flag{W3lec0me_7o_For3n5ics}'
>>>

第二项:那么问题来了,小白的密码是啥?

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

flag{19950101}

第三项:小黑发送的机密文件里面到底是什么

查看下cmd.exe的使用情况

volatility -f memory.raw --profile=WinXPSP2x86 cmdscan

在这里插入图片描述
发现个压缩包,使用文件扫描尝试找出这个文件在内存的位置

volatility -f memory.raw --profile=WinXPSP2x86 filescan | grep 'P@ssW0rd_is_y0ur_bir7hd4y.zip'

然后导出

volatility -f memory.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000002c61318 -D ./

在这里插入图片描述
在这里插入图片描述
根据压缩包名称P@ssW0rd_is_y0ur_bir7hd4y.zip,压缩包密码是生日数字,而生日数字应该是八位纯数字
例如:末初的生日是2001年02月25日
即:20010225

所以掩码直接爆破八位纯数字即可
在这里插入图片描述
得到压缩包密码:19950101
解压得到P@ssW0rd_is_y0ur_bir7hd4y.txt

flag{Thi5_Is_s3cr3t!}
末初mochu7
关注
  • 5
    点赞
  • 9
    收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
rekall:Rekall内存取证框架
02-23
Rekall停产 该项目不再维护。 2011年12月,在Volatility项目中创建了一个新分支,以探索如何使代码库更具模块化,提高性能并提高可用性。 该分支后来被分支为Rekall。 模块化允许在使用物理内存分析功能,以实现远程实时内存分析。 得到教训: 多年来,Rekall已对内存分析方法进行了许多改进。 有关更多信息,请参见: : 由于相互依赖的内存结构和早期架构决策的性质,Rekall框架允许有限的模块化。 越来越大的RAM大小和诸如内存加密之类的安全措施正在使传统的物理内存分析变得更加繁琐。 物理内存分析非常脆弱,并且维护繁重。 大多数物理内存分析工具基本上都是内核调试器,无法访问源代码和调试符号。 因此,大多数内存分析可能是调试/逆向工程并使调试符号/结构定义保持最新状态的昂贵过程。 Rekall的积极开发已经暂停了一段时间。 GRR已从使用Rekall切换到支
2021年中职网络安全国赛内存取证环境
06-21
2021年全国职业院校技能大赛中职组”网络安全“赛项比赛任务环境(内存取证
BMZCTF内存取证三项.zip
10-21
1.小黑写的啥,据说是flag? 2.那么问题来了,小白的密码是啥? 3.小黑发送的机密文件里面到底是什么
CTF-内存取证
梳碧湖的砍柴人
12-13 2702
一道简单得CTF题,主要是内存取证方法 ![在这里插入图片描述](https://img-blog.csdnimg.cn/dfa0a8d28dcd4072973bb9b3f38e45e7.png?x-oss-process=image/watermark,type _d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5YiY5aeR5aiY55qE5oSP5Lit5Lq6,size_19,color_FFFFFF,t_70,g_se,x_16) ...
BUUCTF PWN OGeek2019 babyrop
Rt1Text的博客
05-01 137
1.checksec+运行 32位/ NX保护开启/ 还有Full RELRO 2.IDA进行中
BMZCTF:memory
末初 · mochu7
12-13 788
http://bmzclub.cn/challenges#memory 题目描述.txt 分析内存镜像,破解管理员的登录密码,flag为明文密码的MD5值 把内存中所有用户的hash全部dump出来 存为文件,使用john进行爆破 得到Administrator账户密码:12345678 PS C:\Users\Administrator> php -r "var_dump(md5('12345678'));" Command line code:1: string(32) "25d55a
内存取证CTF-Memlabs靶场3
qq_42947816的博客
02-01 1236
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
BMZCTF内存取证三项(数字取证)
zip471642048的博客
04-22 622
文章目录内存取证查看imageinfo查看所有活动进程查看下cmd.exe的使用情况发现个压缩包,文件扫描出文件在内存的位置dump出文件在当前目录修改为zip后缀寻找压缩包密码猜测压缩包密码得到flag 内存取证 内存取证三项.txt 一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑
浅谈网络安全之内存取证
qidiandexiaowu
11-17 1076
简介:网络与信息技术的加速渗透和深度应用以及软件漏洞不断涌现,导致网络攻击和网络犯罪频发,造成了严重的网络安全威胁.计算机取证是打击计算机与网络犯罪的关键技术,其目的是将犯罪者留在计算机中的“攻击痕迹”提取出来,作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。作为一种实时提取数字证据、对抗网络攻击、打击网络犯罪的有力武器,内存取证已成为信息安全领域研究者所共同关注的热点。 内存的获取方法: 基于硬件的内存获取基于软件的内存获取 Windows操作系统平台支持内存获取的常见工具有: .
aumfor:自动内存取证
04-30
## AUMFOR(自动内存取证) ##关于AUMFOR AUMFOR是自动内存取证工具,是基于GUI的工具,可通过自动执行所有复杂而繁琐的工作来帮助取证调查员,它还分析并提供有关使用恶意软件进行犯罪的可能性的最终准确报告。 ...
CTF内存取证入坑指南!稳!题目
03-28
内存取证类,了解到了一款牛逼的工具——Volatility
波动性:高级内存取证框架
02-05
波动性:高级内存取证框架
OtterCTF的Memory Forensics内存取证文件
12-09
OtterCTF的Memory Forensics内存取证文件,vmem格式,解压即用。 此题详细解题博客:
内存取证CTF-Memlabs靶场1
qq_42947816的博客
02-01 1202
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
内存取证-Volatility安装使用以及一些CTF比赛题目
热门推荐
Bnessy
04-02 1万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
CTF取证总结(内存取证,磁盘取证)以及例题复现
Love&Share
09-20 1万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
浅析内存取证
Lemon's blog
10-16 6493
前言: MISC经常遇到取证分析的,而且在实战中系统取证也是非常重要的,利用这段时间学习一下。 什么是活取证 在主机存活时发现系统被入侵,然后直接把机器的运行内存dump下来,对运行内存进行分析,还原一些进程的中的信息。 主要工作便是 抓取文件metadata 创建时间线 命令历史 分析日志文件 哈希摘要 转存内存信息等 什么是死取证 对机器的磁盘做镜像之后进行分析,在关机后制作硬盘镜像,分析镜像(MBR硬盘分区,GPT全局分区表,LVM逻辑卷)是否存在病毒,木马等恶意程序。 不管是那种取证方式
worldskills内存取证
最新发布
03-14
WorldSkills 内存取证是一种数字取证技术,它可以帮助取证人员在计算机系统中查找和提取有关犯罪行为的证据。这种技术可以通过分析计算机内存中的数据来确定系统中发生的活动,包括已删除的文件、网络连接、进程和其他活动。这种技术在数字取证中非常重要,因为它可以帮助取证人员找到隐藏的证据,从而更好地了解犯罪行为的本质。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末初mochu7

谢谢老板!

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值