内存取证入门第二题

已于 2022-10-28 15:38:35 修改
阅读量1.1k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: misc 文章标签: ctf
于 2022-07-06 00:26:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hacker_zrq/article/details/125579150
本文介绍了参与CTF挑战时进行内存取证分析的过程,包括查看系统版本,识别可疑进程cncrypt.exe,dump加密文件flag.ccx,通过hashdump获取管理员密码的哈希值,使用在线工具解密,以及最终利用特定软件挂载文件并输入密钥完成解密,成功获取flag。

题目链接。

链接:https://pan.baidu.com/s/1bytz9mF_IOBrXY_NYtIgNQ 
--来自百度网盘超级会员V2的分享

 一、查看系统版本

volatility -f mem.dump imageinfo

文件比较大,耐心等待。使用Win7SP1x64

二、 查看可疑进程

发现卷加密进程cncrypt.exe。 基本猜测其是最后加密了一下,因此下面我们需要找密码,然后需要将cncrypt.exe 操作的文件dump下来。

 volatility -f mem.dump --profile=Win7SP1x64 pslist

三、dump file和查找密码

3.1 dump加密后的文件

 volatility -f m
了解本专栏 订阅专栏 解锁全文 超级会员免费看
信息安全管理与评估赛解析-内存取证(含环境)
Brucye
02-25 1209
把flag.png文件修改一下文件名和后缀查看,发现是一半flag,另一个flag.txt文件应该是另一半,考虑用十六进制形式将两个文件进行拼接。注意:不要使用记事本,会卡住,建议使用notepad++Step1:找到对应DIP,下载DIP对应内容进行分析。Step3:下载两个flag文件分析。
内存取证入门第一
admin的博客
07-02 1748
链接:https://pan.baidu.com/s/1nDo5N4uHnV8a5hYXScV4nQ--来自百度网盘超级会员V2的分享。
内存取证-Volatility安装使用以及一些CTF比赛题目
热门推荐
Bnessy
04-02 3万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
内存取证
路baby的博客
10-19 8231
内存取证 是金砖技能大赛-应急响应-内存镜像分析 和46届世界技能大赛湖北省选拔赛-数字取证
内存取证常见例思路方法-volatility (没有最全 只有更全)
路baby的博客
02-22 5740
内存取证常见例思路方法-volatility (🎈没有最全 只有更全🎈) 决定出一期内存取证常见型的文章,利于诸君平时做 文章也会持续更新 加油各位( •̀ ω •́ )y 期待与君再相逢🎈
内存取证练习
SwBack的博客
05-10 1054
题目描述 内存取证是一种比较主观性的题目 My friend John is an “environmental” activist and a humanitarian. He hated the ideology of Thanos from the Avengers: Infinity War. He sucks at programming. He used too many variables while writing any program. One day, John gave me
记一些内存取证
m0_74057302的博客
05-07 1328
生活若循规蹈矩,我们便随心而动
内存取证——基础知识(volatility内存取证
记录并分享学习安全的知识点..
01-11 1641
内存取证——基础知识(volatility内存取证
内存取证入门必看:Volatility基础命令与查找进程痕迹的实战指南
# 内存取证的艺术:从 Volatility 到高级威胁狩猎的实战演进 在一次红队攻防演练中,某企业的服务器日志干干净净,EDR 零告警,防火墙流量也未见异常。但安全分析师在内存镜像中发现了一个“不存在”的进程 —— 它...
CTF笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 3689
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
CTF内存取证入坑指南!稳!题目
03-28
内存取证类,了解到了一款牛逼的工具——Volatility,
BMZCTF内存取证三项.zip
10-21
1.小黑写的啥,据说是flag? 2.那么问来了,小白的密码是啥? 3.小黑发送的机密文件里面到底是什么
内存取证及Volatility2.6的使用(含命令详细解析)
焦虑的焦虑
06-01 5872
应急响应-内存镜像分析-进程分析-Volatility2.6使用
内存取证(使用volatility工具)
m0_57696734的博客
07-16 3800
内存取证
CTF-内存取证
梳碧湖的砍柴人
12-13 3259
一道简单得CTF,主要是内存取证方法 ![在这里插入图片描述](https://img-blog.csdnimg.cn/dfa0a8d28dcd4072973bb9b3f38e45e7.png?x-oss-process=image/watermark,type _d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5YiY5aeR5aiY55qE5oSP5Lit5Lq6,size_19,color_FFFFFF,t_70,g_se,x_16) ...
OtterCTF 内存取证
weixin_51804748的博客
05-15 4068
最近小小的学习了一下内存取证,装环境搞了整整一天,非常麻烦,在阅读相关资料时偶然看到了一篇WriteUp,是关于OtterCTF2018的十三道内存取证题目,用的全部是同一个镜像,考察的知识点非常全面,可以用来熟悉一下volatility的使用,关键是比赛平台居然还开着,正好当作内存取证的一次入门学习 OtterCTF 1 - What the password? ┌──(root㉿kali2022)-[~] └─# vol.py -f /root/桌面/OtterCTF.vmem imageinfo
第46届金砖国家世界技能大赛湖北省选拔赛 内存取证
weixin_54517170的博客
08-02 1492
内存取证
2021年网络安全国赛内存取证题目
panda.
03-30 3049
进入服务器的桌面后打开文件夹volatilityxxxx,工具就位于此目录下 使用命令volatility -f ../1.vmem imageinfo查看内存文件的基本信息 猜测目标操作系统为Win7x64或Win2008x64,由于该系列操作系统中的登录密码加密方式相同,所以下面使用命令volatility -f ../1.vmem --profile hashdump导出密码的hash值 导出至Kali 2.0中使用命令hashcat -a 3 -m 1000 acf4a59b219
有什么办法可以创建一个内存取证的环境
最新发布
04-23
<think>好的,我现在需要帮助用户创建一个用于内存取证的环境。首先,我得理解用户的需求。他们想要知道具体的工具和步骤来搭建这样的环境。根据之前的引用内容,内存取证需要收集内存镜像并进行分析,所以应该分为两个主要部分:获取内存镜像和分析环境搭建。 首先,获取内存镜像。根据引用1和2,不同的平台有不同的工具。比如,在Windows物理机上可以用DumpIt、WinPMEM,而虚拟机的.vmem文件可以直接获取。Linux方面,可以使用LiME或AVML。需要详细列出这些工具的使用步骤,确保用户能正确获取内存数据。 接下来是分析环境的搭建。引用3和4提到Volatility和Rekall是常用的分析工具,尤其是VolatilityPro。这里需要指导用户如何安装这些工具,可能还需要Python环境。此外,虚拟机环境比如VMware或VirtualBox可能有用,用于隔离分析,防止污染真实系统。另外,像Redline或Belkasoft这样的商业工具是否要提及?可能作为补充选项。 然后,用户可能需要具体的步骤,比如分阶段说明:准备阶段、镜像获取、分析环境配置、实际分析、验证环境。每个步骤要详细,比如安装Python、安装Volatility,配置插件等。同时,注意事项比如使用干净的系统快照,防止数据篡改,这点很重要,引用3提到内存取证用于法律取证,所以数据完整性很关键。 可能还需要考虑不同操作系统的区别,比如Windows和Linux的不同工具。还有验证步骤,比如测试工具是否正常工作,确保环境可靠。最后,推荐学习资源,帮助用户进一步学习,比如官方文档和培训课程。 要检查是否有遗漏的工具或步骤,比如是否需要专用硬件?不过大多数工具都是软件,所以可能不需要。是否需要网络配置?可能不需要,除非是远程获取内存,但用户主要问的是环境搭建,所以重点在本地工具。 确保所有工具都有来源说明,比如GitHub链接,但用户可能不需要链接,只要名字即可。步骤要清晰,命令行示例可能有用,比如如何加载LiME模块。同时,提醒用户法律和伦理问,确保他们有权进行取证。 总结,结构应该是分部分:镜像获取工具、分析工具、环境搭建步骤、注意事项、学习资源。确保每个部分涵盖不同平台和工具,步骤详细,注意事项周全。可能还需要示例命令,比如使用Volatility分析镜像的基本命令,帮助用户入门。</think>### 创建内存取证环境的完整指南 #### 一、环境搭建目标 创建内存取证环境需要满足以下核心需求: 1. 安全获取物理机/虚拟机内存镜像 2. 配置专业分析工具链 3. 建立隔离的分析环境(推荐使用虚拟机) #### 二、内存镜像获取工具 根据系统类型选择工具: **1. Windows环境** - **物理机**: - `DumpIt`:单文件工具,双击即生成.raw格式镜像[^2] - `WinPMEM`:支持多格式输出,命令行执行: ```bash winpmem.exe --output memory.raw ``` - **虚拟机**: - VMware:暂停虚拟机后复制.vmem文件[^2] - Hyper-V:导出虚拟机检查点获取.vhdx文件 **2. Linux环境** - `LiME`:动态可加载内核模块(需编译) ```bash insmod lime.ko "path=/tmp/memory.lime format=lime" ``` - `AVML`:用户态工具,避免内核依赖 ```bash sudo avml memory.bin ``` #### 三、分析环境配置 **推荐组合方案**: ```mermaid graph TD A[分析主机] --> B[虚拟机隔离环境] B --> C[Volatility 3.0+] B --> D[Rekall] B --> E[Redline] ``` **1. 基础工具安装** - **Volatility 3**(Python 3.10+): ```bash pip install volatility3 export VOLATILITY_PLUGINS=/path/to/plugins ``` - **插件生态**: - `WindowsRegistry`:解析注册表 - `YARA`:恶意软件扫描 - `Docker集成`: ```docker docker run -v /cases:/cases remnux/volatility ``` **2. 虚拟化环境配置** - **专用分析虚拟机**: - 分配8GB+内存 - 启用嵌套虚拟化 - 配置共享文件夹传输镜像 **3. 商业工具(可选)** - `Belkasoft RAM Capturer`:绕过反调试技术 - `Magnet RAM Capture`:支持UEFI环境 #### 四、分步实施流程 **阶段1:准备取证工作站** 1. 安装VMware Workstation Pro 17+ 2. 创建Ubuntu 22.04 LTS虚拟机 3. 配置隔离网络策略 **阶段2:获取内存镜像** ```python # 示例:自动化获取脚本 import subprocess def capture_memory(os_type): if os_type == "Windows": subprocess.run("DumpIt.exe /Q /Y", shell=True) elif os_type == "Linux": subprocess.run("sudo avml --compress memory.bin.zst", shell=True) ``` **阶段3:分析环境验证** - 测试Volatility功能: ```bash volatility -f memory.dmp windows.pslist ``` - 验证插件加载: ```bash volatility --plugins=plugins/ windows.dumpfiles ``` #### 五、关键注意事项 1. **数据完整性**: - 使用`sha256sum`记录镜像哈希值 - 通过写保护设备传输数据 2. **法律合规**: - 获取系统所有者书面授权 - 遵守《电子数据取证规则》第9条 3. **性能优化**: ```ini # volatilityrc配置 [CACHE] MAX_SIZE = 20G PREFER_CACHE = True ``` #### 六、学习资源推荐 1. Volatility官方文档:https://volatility3.readthedocs.io/ 2. SANS FOR508课程:高级内存取证技术 3. 《The Art of Memory Forensics》(第二版)
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值