信安大赛-内存取证

原创 已于 2025-04-07 20:44:16 修改 · 678 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络 #服务器 #前端 #windows

于 2025-01-16 21:06:21 首次发布

某省赛题

1.请提交内存中恶意进程的名称

用pslist插件查看进程

 

看到有两个powershe11

powershe11.exe

2.请提交恶意进程写入的文件名称(不含路径)

用memdump提取出恶意程序

 

strings

 

hilyary.txt

 

3.请提交 admin 账户的登录密码

mimikatz梭了

 

要是没有这个插件,hashdump这个插件也可以

 

 

123456

 

4.请提交攻击者创建的账户名称

查看注册表,之后一级一级查看

 

找到所有用户,但不知道哪个是攻击者创建的用户,

也是一级一级查看,找到Price

 

5.请提交在桌面某文件中隐藏的 flag 信息,格式:flag{....}

filescan查看文件

 

找到一个skills

提取出来

 

010看到flag

 

 

2024山东省赛题

事件描述:您的任务是使用 Redline 和 Volatility 工具分析内存转储。您的目标是跟踪攻击者在受感染计算机上采取的步骤,并确定他们如何设法绕过网络入侵检测系统“NIDS”。您的调查将涉及识别攻击中使用的特定恶意软件系列及其特征。此外,您的任务是识别和缓解攻击者留下的任何痕迹或足迹。

1.目标可疑进程的名称是什么?

2.提交可疑进程的子进程名称

3.可疑进程内存区域的内存地址

4.负责VPN连接的进程的名称是什么?

5.攻击者的 IP 地址是什么?

6.查看你恶意软件家族的名称是什么?

7.攻击者访问的PHP文件的完整URL是什么?

8.恶意可执行文件的完整路径是什么?

1.目标可疑进程的名称是什么?

vol.py -f 1.mem --profile=Win10x64_19041 malfind

oneetx.exe

2.提交可疑进程的子进程名称

python3 vol.py -f 1.mem windows.pstree

rundll32.exe

 

#vol2下是这个命令

vol.py -f 1.mem --profile=Win10x64_19041 pstree

3.可疑进程内存区域的内存地址

vol.py -f 1.mem --profile=Win10x64_19041 malfind

 

0x400000

4.负责VPN连接的进程的名称是什么?

python3 vol.py -f 1.mem windows.psscan

Outline.exe

5.攻击者的 IP 地址是什么?

python3 vol.py -f 1.mem windows.netscan | grep oneetx.exe

77.91.124.20

6.查看你恶意软件家族的名称是什么?

strings 1.mem | grep Redline

Redlinestealer

7.攻击者访问的PHP文件的完整URL是什么?

strings 1.mem | grep 77.91.124.20

http://77.91.124.20/store/games/index.php

8.恶意可执行文件的完整路径是什么?

strings 1.mem | grep oneetx.exe

C:\Users\Tammam\AppData\Local\Temp\c3912af058\oneetx.exe

 

内存取证_VolatilityGUI做CTF内存取证
weixin_32924159的博客
01-12 2081
Volatility,内存取证工具,一直以来都很“清高”地以命令行方式“行走江湖”,完全不顾自己“参数众多”这个“爆炸”形象,有种“任我行”的味道,直接影响“我等小白”的用户体验。自2018年作者根据用户需求开发了GUI界面以来,受到了热烈地、广泛地欢迎,最近抽空升级改造,形成了目前的2.0版本。现结合一个CTF的内存取证题来做个功能讲解。一、程序界面 一眼看去,界面上功能...
CTF内存取证(window)
m0_74025111的博客
11-11 833
此外,您的任务是识别和缓解攻击者留下的任何痕迹或足迹。凭此进程的话是没有办法去判断哪个是可疑的,然后我们使用其他的插件去排除一下,以下命令为扫描恶意代码。查看到了这个Outline.exe进程,我去网上查了些资料确定了这个就是vpn的进程。跑出了这个ip地址后,我判断了一下,这个就是攻击者的ip地址。7.查看攻击者访问的PHP文件的完整URL是什么?3.请查看应用于可疑进程内存区域的内存保护是什么?2.查看一下可疑进程的子进程名称是什么?4.负责VPN连接的进程的名称是什么?1.目标可疑进程的名称是什么?
ctf比赛中内存取证题目解析2
最新发布
2401_85046491的博客
05-30 307
通过对恶意程序的分析,发现其进程为test.exe,偏移后的进程号为1172和2568。恶意网站链接为http://192.168.44.105:8080/77sA8gJu1,文件虚拟地址为0xe171b008。系统开机自启痕迹显示最后一次更新时间为2014-11-20 06:27:32。分析过程中使用了Volatility工具集的pslist、connections、iehistory、hivelist和shimcache等命令进行取证
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 3493
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
内存取证_CTF
a1912993110的博客
09-15 2722
内存取证 获取内存镜像信息,获取系统版本 volatility -f 1.raw imageinfo 查看进程信息 volatility -f 1.raw --profile=WinXPSP2x86 pslist 留意可疑进程例如:cmd.exe(控制台) notepad.exe(记事本) StikyNot.exe(便笺) 3.查看cmd.exe的使用情况 volatility -f 1.raw --profile=WinXPSP2x86 cmdscan 4. 查看notepad.exe
CTF-内存取证
梳碧湖的砍柴人
12-13 3160
一道简单得CTF题,主要是内存取证方法 ![在这里插入图片描述](https://img-blog.csdnimg.cn/dfa0a8d28dcd4072973bb9b3f38e45e7.png?x-oss-process=image/watermark,type _d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5YiY5aeR5aiY55qE5oSP5Lit5Lq6,size_19,color_FFFFFF,t_70,g_se,x_16) ...
20210516-天风证券-信安世纪-688201-金融安全领军,数字货币与行业信创的显著受益者.pdf
05-16
20210516-天风证券-信安世纪-688201-金融安全领军,数字货币与行业信创的显著受益者.pdf
金盾信安-河南网络与数据安全大赛‘金盾信安杯’详解:参赛形式与价值
12-01
内容概要:‘金盾信安杯’网络与数据安全大赛是由河南省计算机学会主办的一项重要的赛事活动,涵盖了线上挑战赛、线下总决赛、解决方案应用赛等多种形式,旨在提高学生的网络和数据安全能力。本文介绍了比赛的内容、...
彭帅-2100170178-信安2102-信息安全工程设计与实践报告.docm
07-12
彭帅-2100170178-信安2102-信息安全工程设计与实践报告.docm
信安1805-吴锦添-U2018103981
08-03
1. 在计算机(客户端)和网关之间创建 VPN 隧道,允许计算机通过网关 2. 同时使用指令配置内网和外网网段和相应的网关 IP,通过这种设置, 3. 随后创建
实验03-2018级信安3-4班1
08-03
《实验03-2018级信安3-4班1》的目的是让学生深入理解分组密码技术,特别是高级加密标准(AES)算法。AES是目前广泛应用的分组密码算法,它在信息安全领域扮演着至关重要的角色。实验涵盖了以下几个核心知识点: 1. ...
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
CTF内存取证入坑指南!稳!题目
03-28
内存取证类,了解到了一款牛逼的工具——Volatility,
内存取证CTF-Memlabs靶场5
qq_42947816的博客
02-01 1519
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
内存取证CTF-Memlabs靶场3
qq_42947816的博客
02-01 1893
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
OtterCTF 内存取证
weixin_51804748的博客
05-15 3794
最近小小的学习了一下内存取证,装环境搞了整整一天,非常麻烦,在阅读相关资料时偶然看到了一篇WriteUp,是关于OtterCTF2018的十三道内存取证题目,用的全部是同一个镜像,考察的知识点非常全面,可以用来熟悉一下volatility的使用,关键是比赛平台居然还开着,正好当作内存取证的一次入门学习 OtterCTF 1 - What the password? ┌──(root㉿kali2022)-[~] └─# vol.py -f /root/桌面/OtterCTF.vmem imageinfo
CTF取证总结(内存取证,磁盘取证)以及例题复现
热门推荐
Love&Share
09-20 3万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(1)
碧海朝天素
04-08 1347
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小丑001.

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值