信安大赛-内存取证

原创 已于 2025-04-07 20:44:16 修改 · 731 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络 #服务器 #前端 #windows

于 2025-01-16 21:06:21 首次发布

某省赛题

1.请提交内存中恶意进程的名称

用pslist插件查看进程

 

看到有两个powershe11

powershe11.exe

2.请提交恶意进程写入的文件名称(不含路径)

用memdump提取出恶意程序

 

strings

 

hilyary.txt

 

3.请提交 admin 账户的登录密码

mimikatz梭了

 

要是没有这个插件,hashdump这个插件也可以

 

 

123456

 

4.请提交攻击者创建的账户

最低0.47元/天 解锁文章
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 3711
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
CTFshow电子取证——内存取证1
m0_73756016的博客
04-12 1239
思路从JiaJia_Co.raw中识别系统版本从注册表中获取计算机内有哪些用户打印注册表中UserAssist相关信息,获取计算器程序最后一次运行的时间解题过程使用imageinfo插件,获取系统版本从imageinfo结果中可知,该内存镜像的系统版本为。
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
CTF内存取证(window)
m0_74025111的博客
11-11 963
此外,您的任务是识别和缓解攻击者留下的任何痕迹或足迹。凭此进程的话是没有办法去判断哪个是可疑的,然后我们使用其他的插件去排除一下,以下命令为扫描恶意代码。查看到了这个Outline.exe进程,我去网上查了些资料确定了这个就是vpn的进程。跑出了这个ip地址后,我判断了一下,这个就是攻击者的ip地址。7.查看攻击者访问的PHP文件的完整URL是什么?3.请查看应用于可疑进程内存区域的内存保护是什么?2.查看一下可疑进程的子进程名称是什么?4.负责VPN连接的进程的名称是什么?1.目标可疑进程的名称是什么?
CTF-内存取证
梳碧湖的砍柴人
12-13 3270
一道简单得CTF题,主要是内存取证方法 ![在这里插入图片描述](https://img-blog.csdnimg.cn/dfa0a8d28dcd4072973bb9b3f38e45e7.png?x-oss-process=image/watermark,type _d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5YiY5aeR5aiY55qE5oSP5Lit5Lq6,size_19,color_FFFFFF,t_70,g_se,x_16) ...
内存取证_CTF
a1912993110的博客
09-15 2807
内存取证 获取内存镜像信息,获取系统版本 volatility -f 1.raw imageinfo 查看进程信息 volatility -f 1.raw --profile=WinXPSP2x86 pslist 留意可疑进程例如:cmd.exe(控制台) notepad.exe(记事本) StikyNot.exe(便笺) 3.查看cmd.exe的使用情况 volatility -f 1.raw --profile=WinXPSP2x86 cmdscan 4. 查看notepad.exe
信安大赛-应急响应
最新发布
WTT001的博客
01-16 1740
1提交攻击者的IP地址2识别攻击者使用的操作系统3找出攻击者资产收集所使用的平台4提交攻击者目录扫描所使用的工具名称5提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS6找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码7找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)8识别系统中存在的恶意程序进程,提交进程名9找到文件系统中的恶意程序文件并提交文件名(完整路径)10简要描述该恶意文件的行为root。
20210516-天风证券-信安世纪-688201-金融安全领军,数字货币与行业信创的显著受益者.pdf
05-16
20210516-天风证券-信安世纪-688201-金融安全领军,数字货币与行业信创的显著受益者.pdf
精选资源
金盾信安-河南网络与数据安全大赛‘金盾信安杯’详解:参赛形式与价值
12-01
内容概要:‘金盾信安杯’网络与数据安全大赛是由河南省计算机学会主办的一项重要的赛事活动,涵盖了线上挑战赛、线下总决赛、解决方案应用赛等多种形式,旨在提高学生的网络和数据安全能力。本文介绍了比赛的内容、...
彭帅-2100170178-信安2102-信息安全工程设计与实践报告.docm
07-12
彭帅-2100170178-信安2102-信息安全工程设计与实践报告.docm
CTF内存取证入坑指南!稳!题目
03-28
内存取证类,了解到了一款牛逼的工具——Volatility,
OtterCTF 内存取证
weixin_51804748的博客
05-15 4099
最近小小的学习了一下内存取证,装环境搞了整整一天,非常麻烦,在阅读相关资料时偶然看到了一篇WriteUp,是关于OtterCTF2018的十三道内存取证题目,用的全部是同一个镜像,考察的知识点非常全面,可以用来熟悉一下volatility的使用,关键是比赛平台居然还开着,正好当作内存取证的一次入门学习 OtterCTF 1 - What the password? ┌──(root㉿kali2022)-[~] └─# vol.py -f /root/桌面/OtterCTF.vmem imageinfo
内存取证CTF-Memlabs靶场5
qq_42947816的博客
02-01 1597
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
OtterCTF-内存取证
11-30 1762
控制系统启动的有三个注册表项,在HKEY_LOCAL_MACHINE/SYSTEM下,存在着 CurrentControlSet、ControlSet001、ControlSet002这三个子键,其中,ControlSet001,ControlSet002这两个子键中包含主机名。通过文件搜索相关关键字,分析来源,发现下载 BitTorrent协议的种子文件 ,在第7题的进程中也发现了相关进程,转储该文件进行分析。查看该进程进程树,发现它还有一个字进程vmware-tray.ex。
CTF取证总结(内存取证,磁盘取证)以及例题复现
热门推荐
Love&Share
09-20 4万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(1)
2401_84281748的博客
05-12 1419
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(2)
2401_86436837的博客
09-05 2142
在 \output\storage\MediaTar\images 目录下得到一个 images0.tar 压缩文件,解压得到flag。
内存取证CTF-Memlabs靶场1
qq_42947816的博客
02-01 3746
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型
Ba1_Ma0的博客
03-16 9128
本篇文章演示的插件已经可以做绝大部分题目了,之后就多在buuctf或者ctfshow等线上ctf平台刷题,积累经验。
CTF-MISC取证与隐写技术深度解析与实战指南
- MISC题型是CTF中涉及取证、隐写、信安常识的灵活多变题型。 二、取证基础 - 取证(Forensics)是对电子证据的分析和还原。 - 常见取证题型包括文件分析、数据恢复、日志和流量包分析等。 - 解题思路涉及识别文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小丑001.

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值