ctf 内存取证的一些命令

最新推荐文章于 2025-09-10 10:14:43 发布
原创 最新推荐文章于 2025-09-10 10:14:43 发布 · 9k 阅读 · 48 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ctf内存取证相关命令

本文介绍了如何在CTF比赛中通过内存取证来寻找关键信息。利用Kali Linux中的Volatility工具,以men.raw文件为例,展示了如何查看系统信息、运行程序列表、查找特定文件、提取文件、查看CMD执行的文件以及获取网络连接和账户密码等操作。在实践中,通过grep过滤找到txt文件,使用Volatility提取进程中的文件,并利用foremost进一步解析流量包以寻找flag。

内存取证

相当于给出镜像文件,一般为.raw文件,在这些文件中找出相应的文件

常用命令
在kali下用工具volatility,以湖湘杯的文件men.raw为例

  1. 查看系统信息
    volatility -f mem.raw imageinfo

    如下显示的系统都有可能,可以一个个的试试

  2. 查看运行程序列表
    volatility -f mem.raw --profile=Win7SP1x64 pslist

  3. 查看文件
    volatility -f mem.raw --profile=Win7SP1x64 filescan

    一般文件会很多,不易查看,用grep命令过滤
    volatility -f mem.raw --profile=Win7SP1x64 filescan |grep txt

    这里显示出了txt文件,下面将他们分离出来

  4. 提取文件
    volatility -f mem.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000001e7c3420 -D aaa
    -Q是偏移量,-D是存储的文件夹

  5. 查看cmd下执行的文件
    volatility -f mem.raw --profile=Win7SP1x64 cmdscan

    可以看到,flag已经被找到,不过出题人并没有将flag放在一个文件里,只是个文件 名,若是放在某个文件里,会加大我们的难度

  6. 分离出cmd下执行的某个文件
    volatility -f mem.raw --profile=Win7SP1x64 memdump -p 2884 -D aaa
    -p是进程号,flag的文件在进程号为2884,分离出的文件为流量包


    好像用wireshark打不开,可以直接foremost一波,得到文件

  7. 提取账户密码
    volatility -f mem.raw --profile=Win7SP0x64 hashpump

  8. 查看网络连接
    volatility -f mem.raw --profile=Win7SP1x64 netscan

    查看已经建立的网络连接
    volatility -f mem.raw --profile=Win7SP1x64 netscan|grep ESTABLISHED

ctf php 读取flag,ctf题:pinstore获取flag
weixin_42304618的博客
03-11 2083
首先先用jadx反编译出源代码,可以看到目录结构 从这里就可以知道我们只需查看pinlock.ctf.pinlock.com.pinstore目录下的代码即可先从MainActivity看起 从源代码我们可以知道pinFormDB是数据库中存储的密码、hashOfEnteredPin属于我们输入的密码加密后的密文,在这里我们可以修改if的判断条件接下来通过apktool工具对apk文件进行反编译得...
ctf比赛中内存取证的常用命令
2401_85046491的博客
05-29 1047
Volatility内存取证工具使用指南,涵盖Windows系统取证常用命令。包括:用户信息提取(printkey/hashdump)、进程分析(pslist/psscan)、网络连接检查(netscan/connscan)、文件操作(filescan/dumpfiles)、注册表取证(hivelist/printkey)、浏览器记录(iehistory)、剪贴板内容(clipboard)等关键操作。特别说明Win7/WinXP等不同系统的命令差异,提供内存转储分析、恶意进程检测、密码哈希提取等
CTF取证总结(内存取证,磁盘取证)以及例题复现
热门推荐
Love&Share
09-20 4万+
内存取证 经常利用volatility分析 取证文件后缀 .raw.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
CTF-朴实无华的内存取证
qq_43611848的博客
01-11 5881
题目描述 链接:https://pan.baidu.com/s/1dC4reO8opHQ3yZ8PdtD_AQ 提取码:lzsa 解题过程: 1.下载文件1.raw,放到kali里。 2.volatility -f 1.raw imageinfo 2.尝试第一个profile类型,查看进程 volatility -f 1.raw pslist --profile=WinXPSP2x86 3.grep过滤flag关键字试试 volatility -f 1.raw --profile=WinXPSP2x86
ctfshow-memprocfs工具取证总结
最新发布
绘梨衣の沉默的博客。主要是CTF竞赛,网络安全,渗透测试,HVV,以及学习到的各种知识的分享
09-10 418
内存取证分析命令总结:通过memprocfs工具可挂载内存转储文件(M:或S:),支持实时取证(-forensic1)和WinPMEM驱动读取。关键可疑指标包括PE注入/修改、PRIVATE_RWX异常权限、NO_IMAGE隐藏模块等。分析发现Hmohgnsyc.exe可疑进程隐藏在Todesk目录下,系统信息和取证数据分别存储在sysinfo.txt和forensic文件夹中。
CTF内存取证(window)
m0_74025111的博客
11-11 947
此外,您的任务是识别和缓解攻击者留下的任何痕迹或足迹。凭此进程的话是没有办法去判断哪个是可疑的,然后我们使用其他的插件去排除一下,以下命令为扫描恶意代码。查看到了这个Outline.exe进程,我去网上查了些资料确定了这个就是vpn的进程。跑出了这个ip地址后,我判断了一下,这个就是攻击者的ip地址。7.查看攻击者访问的PHP文件的完整URL是什么?3.请查看应用于可疑进程内存区域的内存保护是什么?2.查看一下可疑进程的子进程名称是什么?4.负责VPN连接的进程的名称是什么?1.目标可疑进程的名称是什么?
一文讲述内存取证的数据保存、数据分析、CTF实战案例
qq_53058639的博客
10-05 454
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
Hello-CTF项目中的内存取证技术详解
gitblog_01007的博客
06-26 366
Hello-CTF项目中的内存取证技术详解 前言 内存取证是数字取证领域的重要组成部分,也是CTF比赛中常见的题型。通过分析计算机系统的内存数据,我们可以获取系统运行时的关键信息,包括进程、网络连接、文件操作等,这对于安全事件调查和恶意软件分析至关重要。 内存取证基础概念 内存取证主要针对计算机的易失性存储器(RAM)进行分析。当计算机运行时,操作系统、应用程序和各种数据都会在内存中留下痕迹,这些...
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
2401_83974660的博客
04-17 1978
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。查看文件内容,是一段base64编码,对文件开头的一段内容进行base64解码,可以发现解码后的内容是zip文件的数据逆序。
CTF内存取证入坑指南!稳!题目
03-28
Volatility是一款开源的内存取证框架,广泛应用于CTF(Capture The Flag)竞赛和实际的网络安全事件响应中。它支持多种操作系统,包括Windows、Linux、Mac OS等,提供了丰富的命令来提取和解析内存映像中的信息。...
CTF内存取证&volatility工具
weixin_62024248的博客
04-29 1108
你的任务是查看内存转储,看看能否找出一些线索。发现有密码,查看一些属性里面有没有注释,发现是有点(Password is SHA1(stage-3-FLAG) from Lab-1. Password is in lowercase.)提示我们密码是Lab-1的第三部分Flag的SHA1值。作为调查的一部分,他告诉我们,他的应用程序是浏览器,他的密码管理器等。大小小于或等于1024字节的文件将直接存储在MFT表中(称为“常驻”文件),如果超过1024字节,表将只包含其位置信息(称为“非常驻”文件)。
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证。 Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
CTF 内存取证 USB流量分析
MOLLMY的专栏
09-09 7349
护网杯2019预选赛第二题 内存取证弟弟题???? 题目名叫: Baby_forensic 题目附件地址 目录 Baby_forensic 知识点: 内存取证工具volatility 的使用: 取证方法建议 Keyboard scan code: 解题过程: 1. Kali中解压文件 2. pslist查看进程 3. 通过cmdscan[孙2]提取命令历史记录,结果如下 ...
CTF-Linux硬盘文件分析取证(MySQL操作记录)
asd158923328的博客
08-21 745
靶场地址: https://www.mozhe.cn/bug/detail/RStjSCtaYjRoQm9Ccm5Zb1d3K1V3Zz09bW96aGUmozhe 根据题意 进入环境,下载文件,用AccessData FTK Imager打开镜像,定位到/root/.mysql_history 输入语句获得key ...
内存镜像文件取证
山兔的博客
03-20 2091
打印userassist注册表项和信息跟踪在资源管理器中打开的可执行文件和完整路径,其中UserAssist保存了windows执行的程序的运行次数和上次执行日期和时间。题目问我们的是最后一次运行计算器的时间,我们直接去找calc.exe的最后一次运行的时间得出最后运行的时间是2021-12-10 12:15:47 UTC+0000,因为我们是在东八区,所以时间要加上8个小时,所以最终的截止时间是2021-12-10 20:15:47。
溯源取证-内存取证基础篇
weixin_48421613的博客
04-04 1439
溯源取证-内存取证 基础篇
内存取证(仅个人思路)
我是网络安全兼技能大赛工程师,专注网络安全技术学习与技能大赛实战!持续分享最新的技术文章,帮你少走弯路,一起在技术赛道上进步~
11-23 4550
volatility -f test2.raw imageinfo 获取镜像详细信息 profile参数很重要 volatility -f test2.raw --profile=Win7SP1x64 hashdump 获取镜像的hash值及用户名 获取之后可以使用john工具进行字典解密 或者使用ophcrack破解 如果比赛的时候有mimikatz插件 可以直接使用mimikatz进行破解 直接出密码 还有一种是 lsadump 能出来断断续续的密码 不是完整的 ...
CTF-misc内存取证心得笔记
Pompey_wp的博客
09-17 569
除此之外还需要 /boot 目录下的 System.map 文件,然后将这两个文件打包压缩,放在 volatility/plugins/overlays/linux 目录下即可,再执行 volatility --info 就可以看到新的 Linux profile 了。dump 出来的内存中往往会存在一些字符串,可以用 strings 命令提取出来,然后通过搜索来寻找一些特定的字符串,比如 flag、secret 啥的。volatility3 -f banners 可以检测当前 Linux 版本。
掌握Volatility,步入CTF内存取证的殿堂
接下来,我们将详细探讨Volatility工具的使用方法,以及如何在CTF内存取证比赛中应用这个工具。Volatility可以加载一个内存转储文件,并利用各种插件对内存数据进行分析。这些插件可以提供从基本的系统信息,如操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值