内存取证入门第二题

已于 2022-10-28 15:38:35 修改
阅读量1.1k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: misc 文章标签: ctf
于 2022-07-06 00:26:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hacker_zrq/article/details/125579150
本文介绍了参与CTF挑战时进行内存取证分析的过程,包括查看系统版本,识别可疑进程cncrypt.exe,dump加密文件flag.ccx,通过hashdump获取管理员密码的哈希值,使用在线工具解密,以及最终利用特定软件挂载文件并输入密钥完成解密,成功获取flag。

题目链接。

链接:https://pan.baidu.com/s/1bytz9mF_IOBrXY_NYtIgNQ 
--来自百度网盘超级会员V2的分享

 一、查看系统版本

volatility -f mem.dump imageinfo

文件比较大,耐心等待。使用Win7SP1x64

二、 查看可疑进程

发现卷加密进程cncrypt.exe。 基本猜测其是最后加密了一下,因此下面我们需要找密码,然后需要将cncrypt.exe 操作的文件dump下来。

 volatility -f mem.dump --profile=Win7SP1x64 pslist

三、dump file和查找密码

3.1 dump加密后的文件

 volatility -f m
了解本专栏 订阅专栏 解锁全文 超级会员免费看
CTF内存取证入坑指南!稳!题目
03-28
内存取证类,了解到了一款牛逼的工具——Volatility,
BMZCTF内存取证三项.zip
10-21
1.小黑写的啥,据说是flag? 2.那么问来了,小白的密码是啥? 3.小黑发送的机密文件里面到底是什么
内存取证-Volatility安装使用以及一些CTF比赛题目
热门推荐
Bnessy
04-02 3万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
内存取证
路baby的博客
10-19 8228
内存取证 是金砖技能大赛-应急响应-内存镜像分析 和46届世界技能大赛湖北省选拔赛-数字取证
内存取证练习
SwBack的博客
05-10 1054
题目描述 内存取证是一种比较主观性的题目 My friend John is an “environmental” activist and a humanitarian. He hated the ideology of Thanos from the Avengers: Infinity War. He sucks at programming. He used too many variables while writing any program. One day, John gave me
记一些内存取证
m0_74057302的博客
05-07 1328
生活若循规蹈矩,我们便随心而动
内存取证及Volatility2.6的使用(含命令详细解析)
焦虑的焦虑
06-01 5865
应急响应-内存镜像分析-进程分析-Volatility2.6使用
内存取证(使用volatility工具)
m0_57696734的博客
07-16 3800
内存取证
内存取证入门第一
admin的博客
07-02 1748
链接:https://pan.baidu.com/s/1nDo5N4uHnV8a5hYXScV4nQ--来自百度网盘超级会员V2的分享。
内存取证——基础知识(volatility内存取证
记录并分享学习安全的知识点..
01-11 1641
内存取证——基础知识(volatility内存取证
内存取证入门必看:Volatility基础命令与查找进程痕迹的实战指南
# 内存取证的艺术:从 Volatility 到高级威胁狩猎的实战演进 在一次红队攻防演练中,某企业的服务器日志干干净净,EDR 零告警,防火墙流量也未见异常。但安全分析师在内存镜像中发现了一个“不存在”的进程 —— 它...
CTF笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 3689
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
信息安全管理与评估赛解析-内存取证(含环境)
Brucye
02-25 1208
把flag.png文件修改一下文件名和后缀查看,发现是一半flag,另一个flag.txt文件应该是另一半,考虑用十六进制形式将两个文件进行拼接。注意:不要使用记事本,会卡住,建议使用notepad++Step1:找到对应DIP,下载DIP对应内容进行分析。Step3:下载两个flag文件分析。
内存取证常见例思路方法-volatility (没有最全 只有更全)
路baby的博客
02-22 5739
内存取证常见例思路方法-volatility (🎈没有最全 只有更全🎈) 决定出一期内存取证常见型的文章,利于诸君平时做 文章也会持续更新 加油各位( •̀ ω •́ )y 期待与君再相逢🎈
CTF-内存取证
梳碧湖的砍柴人
12-13 3259
一道简单得CTF,主要是内存取证方法 ![在这里插入图片描述](https://img-blog.csdnimg.cn/dfa0a8d28dcd4072973bb9b3f38e45e7.png?x-oss-process=image/watermark,type _d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5YiY5aeR5aiY55qE5oSP5Lit5Lq6,size_19,color_FFFFFF,t_70,g_se,x_16) ...
OtterCTF 内存取证
weixin_51804748的博客
05-15 4067
最近小小的学习了一下内存取证,装环境搞了整整一天,非常麻烦,在阅读相关资料时偶然看到了一篇WriteUp,是关于OtterCTF2018的十三道内存取证题目,用的全部是同一个镜像,考察的知识点非常全面,可以用来熟悉一下volatility的使用,关键是比赛平台居然还开着,正好当作内存取证的一次入门学习 OtterCTF 1 - What the password? ┌──(root㉿kali2022)-[~] └─# vol.py -f /root/桌面/OtterCTF.vmem imageinfo
第46届金砖国家世界技能大赛湖北省选拔赛 内存取证
weixin_54517170的博客
08-02 1492
内存取证
2021年网络安全国赛内存取证题目
panda.
03-30 3049
进入服务器的桌面后打开文件夹volatilityxxxx,工具就位于此目录下 使用命令volatility -f ../1.vmem imageinfo查看内存文件的基本信息 猜测目标操作系统为Win7x64或Win2008x64,由于该系列操作系统中的登录密码加密方式相同,所以下面使用命令volatility -f ../1.vmem --profile hashdump导出密码的hash值 导出至Kali 2.0中使用命令hashcat -a 3 -m 1000 acf4a59b219
有什么办法可以创建一个内存取证的环境
最新发布
04-23
好的,我现在需要帮助用户创建一个用于内存取证的环境。首先,我得理解用户的需求。他们想要知道具体的工具和步骤来搭建这样的环境。根据之前的引用内容,内存取证需要...3. 《The Art of Memory Forensics》(第二版)
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值