2024年美亚杯资格赛内存取证–使用Lovelymem一把梭

最新推荐文章于 2025-01-24 11:00:57 发布
最新推荐文章于 2025-01-24 11:00:57 发布
阅读量785 收藏 8
点赞数 4
分类专栏: 取证 文章标签: 服务器 运维 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_81210668/article/details/145293624
版权

2024年美亚杯资格赛内存取证–使用Lovelymem一把梭

这次内存镜像特别大,有18多个GB,当时自己用vol2.6跑了半个小时都没有跑出来,电脑一直嗡嗡嗡,风扇应该拉满了。 赛后才知道用vol3马上就能跑出来,因为内存镜像是win10系统,vol2.6跑不动这么新的系统。考试的时候时间紧张,人更紧张,根本没有去考虑什么vol2.6跑不动应该怎么办。 所以一款一把梭工具就特别重要,推荐一款集成了vol2和vol3的内存取证神器,操作页面可视化,操作简单易上手,不用去记各种指令,适合新手小白使用。

59.[单选题] 参考RAM_Capture_David_Laptop.RAW,以下哪一个不是程序"firefox.exe"的PID? (2分)

A. 9240

B. 8732

C. 5260

D. 3108

在Lovelymem里面选择基本功能里面的进程信息image-20250122044221852

打开界面之后调整每页行数让数据都在一页显示出来,然后输入firefox进行搜索image-20250122044501861

60.[填空题] 参考RAM_Capture_David_Laptop.RAW,汇出PID:724的程序,其哈希值 (SHA-256) 是? (2分)

fee23ebcba02987e70d81ca1924c2e9c69d79ac2afea5bbde4fb335a57d4b30c

在刚刚打开的界面里面搜索724,直接就能找到对应的程序image-20250122044713993然后我们需要把程序导出来,这里再介绍一个功能也是lovelymem里面集成的功能MemProcFS,它可以将镜像直接挂载起来,直接可以去找文件image-20250122045357840image-20250122045454028

61.[单选题] 参考RAM_Capture_David_Laptop.RAW,哪一个是执行PID:724程序的SID? (1分)

A. S-1-1-0

B. S-1-2-0

C. S-1-5-21-1103701427-1706751984-2965915307-1001

D. S-1-5-21-1103701427-1706751984-2965915307-513

接上一题,直接使用其中的插件,查看进程的SID组image-20250122045742118

打开查看发现有五个,但是只有一个对应选项image-20250122045915756

62.[填空题] 参考RAM_Capture_David_Laptop.RAW,账户David Tenth的NT LAN Manager的哈希值(NTLM Hash) ? (答案格式:只需使用全部小写及阿拉伯数字回答) (1分)

e14a21fefc5dd81275bb87228586cffc

使用密码哈希转储功能直接就出了image-20250122051035006image-20250122051109505

18美亚团体赛内存部分
amaze_xiang的博客
11-04 1375
18美亚内存取证 最近准备美亚,我负责Windows部分,就把18内存题翻出来做下,因为第一次做内存,可能有些不到位的地方,然后,有几题实在不会 这里为了方便把内存镜像的文件名改成了1.dmp 首先搜出镜像系统是Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418,后续用Win7SP1x64_23418做的题 85从内存镜像档案的数据显示,该镜像档案的建立日
2020第六届美亚中国电子数据取证大赛个人资格赛
ShenZ的博客
01-22 2644
2020第六届美亚中国电子数据取证大赛个人资格赛 这一套还不错,个人赛的检材也各个有联系,检材照片和笔录让人身临其境。 第一次用富文本编辑器,感觉好酷 目录 笔记本计算机 手机 USB 笔记本计算机 1.Alice的笔记本计算机已成功被取证并制作成镜像(ForensicImage),下列哪个是镜像的SHA-1哈希值?
Lovelymem一把2024美亚内存取证Lovelymem软件使用详细步骤+软件+检材链接)
m0_37867238的博客
12-25 2575
Lovelymem一把2024美亚内存取证Lovelymem软件使用详细步骤+软件+检材链接)
2019美亚电子数据取证大赛-内存取证
weixin_44770698的博客
10-13 3266
2019美亚电子数据取证大赛-内存取证
volatility内存取证学习美亚比赛版,密码+注册表
ntrybw的博客
09-10 1993
密码主要是看后半段,蓝色部分,cmd5可以破解,输进去试一下,如果是闭网环境,那就需要相应软件,比如说hashcat一般31开头就是空密码,其他就去接一下就好。3:ntuser.dat (对应用户的注册表值,某种程度上,也可以佐证用户,就是有哪几个用户。解释hivelist,查看注册表信息,virtual是虚拟地址,physical是物理地址。要知道内存镜像的架构,知道内存是在什么操作系统下面获取的,最关键一步。要把内存里面的注册表信息导出,可以用可视化,dum那个,新建一个文件夹。开头一般是系统管理员,
2020美亚全国电子数据取证大赛有感
m0_46625346的博客
11-15 3312
总结感悟 2020第六届美亚终于结束了,心里感觉舒畅了不少,虽然结果有些差,但我感觉,这个备赛过程中,我和队友收获了很多,之间配合的也越来越默契,希望下届美亚我们可以去的更好的名次。加油,冲啊! 下面配上我们的成绩图,大佬就不要吐槽了,我们也就参加过两次取证比赛。。。 一次西安电子科技大举办的长安,第二次就是美亚了。 我们尽力了。明继续! 比赛完,正好和朋友出去过生日 出去浪啦哈哈 需要2020美亚资格赛WP的可以找我资源区,免费下载哈!!! 记得点关注点赞呀!!!! ...
2023第九届美亚全国电子数据取证竞赛个人赛实操部分参考wp
cuiwenhao_的博客
11-20 3470
2023第九届美亚全国电子数据取证竞赛个人赛实操部分参考wp
美亚全国2018第四届电子数据取证竞赛-个人赛
05-02
美亚全国2018第四届电子数据取证竞赛-个人赛 电子取证竞赛是测试电子取证专业人员的技能和技术的竞赛,本竞赛旨在提高电子取证技术的应用和普及。 本竞赛包括了多个题目,涵盖了电子取证的多个方面,包括MD5...
2021美亚个人资格赛(记录第一次的取证之旅)
m0_56194555的博客
11-28 9744
2021美亚个人资格赛wp
2019第五届 美亚电子取证 团体赛 wp
ShenZ的博客
01-13 1865
2019第五届 美亚电子取证 团体赛 wp 案情 路由器 Win1.E01 Win3.E01 L:\Group_Competition\Hacker_Linux\Linux1 MacBookAir.00001 手机镜像 blk0_mmcblk0.bin backup.ab Group_Competition\Hacker_RAID Group_Competition\Hacker_PCAP
内存取证大纲(文件后缀mem)【volatility】【WRR】
m0_65713959的博客
11-10 2248
内存取证笔记摘要【Volatility】【WRR】
21美亚团队赛,镜像+解析,只做了pc+恶意+内存,希望与大家一起学习进步。
ntrybw的博客
10-04 3538
各种新奇的无人机,电视,矿机,手表之类的都可能去叫我取证,我要总结方法。说实话,我做的时候是蒙的,检材量太大了,信息量很多,需要三个人密切合作才能做完,而且确实题目过大导致计算机一下子也受不了,我已经用游戏本了,但是感觉还是不太行,今不会换了,明考虑台式机,哈哈哈,笔记本已经满足不理我了。由于本人分工在PC 恶意程序 内存 这几块,所以考试的时候没做,但是又临近考试,我实在是没时间做服务器和手机,在这里就先不写了,但是我一定会补上的,我对取证的热爱是一定的,一旦空下来或者比赛打完我一定会补上。
CTF常用工具_实时更新
baimao__Ch的博客
04-29 1011
近期在做一些ctf题,其中会涉及到许多工具,起初我会使用百度网盘在每一篇博客放置对应的工具,但因网盘上传有上限,所以现在我将练习中所用到所有的工具放置在这篇文章中。需要下载的小伙伴可随时拿取,分享有效期为永久分享。常用工具及常用网站为实时分享!!!从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
ctfshow单身2024 Writeup By V3geD4g
xczzhf的博客
11-13 1740
直接用数字和字符串绕就可以了。
2024全国职业技能大赛“信息安全与评估”赛项】任务3-Windows内存取证
2301_79200709的博客
12-01 497
2024全国职业技能大赛“信息安全与评估”赛项】任务3-Windows内存取证
2024春秋冬季赛 ez forensics题解 使用LovelyMem
m0_70369590的博客
01-17 996
接下来直接套了原题,使用flag_is_here作为MobaXterm的主密钥去对root用户密码进行解密。使用LovelyMem Vol2-拓展功能-Mimikatz得到密码strawberries。解密得到hint内容,告诉我们hashdump得到的用户密码就是7z压缩包的密码。使用LovelyMem快速检查,发现桌面上有hint和f14g.7z,导出文件。hint提示60=?,想到ROT47+ROT13。解压压缩包,发现是MobaXterm的配置文件。最后base64得到flag。
2024美亚(MeiyaCup2024资格赛writeup
qq_43491969的博客
11-13 2260
20248月某日,香港警方接获一名本地女子Emma报案,指她的姐姐Clara失联多天,希望报告一宗失踪人口的案件。现在你被委派处理这宗案件。 在处理该案件期间,你在Emma的同意下提取了她手机的资料,并且协助警方对Clara及其丈夫David的电子装备进行取证工作。请分析以下的资料,还原事件经过
2024春秋misc方向--ez forensics题解(使用lovelymemv版)
sveewg的博客
01-24 8750
最近在做春秋时,有一道取证题手搓有点难,便想到了lovelymemv这个工具,接下来一起开开怎么做的吧。
2024美亚资格赛复现
Pisces50002的博客
12-15 1427
这题当时没找到,图片的exif中没有经纬度信息,看了wp才知道需要去数据库里找得翻数据库,发现这个是聊天记录的数据库由于Emma的镜像分析不出来微信记录,只能从Clara手机上定位图片的位置聊天记录显示Emma赌钱赌输了,利用姐姐Clara偷了她丈夫David的比特币还钱,Clara被发现后应该是被David杀害了进数据库找到图片的信息获得UUID再去Photo.sqlite数据库里找信息这个表里找到,往前翻就是经纬度A. 8.0.0B. 9.0.0C. 8.1.0D. 7.0.0A。
2024美亚 个人赛wpAXIOM
最新发布
02-21
对于2024美亚个人赛与wpAXIOM相关的资料,网络上的信息主要集中在技术社区讨论和个人分享的经验贴。以下是整合的信息: ### 关于2024美亚个人赛 美亚是一个针对信息安全领域的竞赛活动,旨在提升参赛者在网络空间安全方面的技能和技术水平。2024的比赛包括了个人赛的部分,在这类比赛中通常会涉及各种网络安全挑战,例如但不限于漏洞挖掘、逆向工程、加密破解等。 一个具体的资源提到提供了2024美亚复现的材料,这可能是对之前赛事的一个回顾或者练习环境设置指南。提供的链接指向百度云盘存储的服务,其中包含了可能用于模拟或复习的比赛素材。需要注意的是,访问这些资源时应确保遵守版权和其他法律法规。 ### wpAXIOM的相关信息 wpAXIOM这个特定术语没有直接关联到广泛认可的产品或概念。考虑到上下文是在谈论美亚这样的网络安全竞赛,推测wpAXIOM可能是某个工具、平台或者是该次活动中特别提及的技术名词。然而,由于缺乏明确说明,准确解释这一项较为困难。建议查阅官方文档或是参与过此事件的人士所发布的更详细的报告来获取确切含义。 为了找到更多关于这两个主题的具体内容,考虑加入专业的在线论坛如优快云或其他专注于信息安全的学习交流群组;也可以关注主办方发布的信息渠道以获得最权威的第一手资讯。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值