一文教你学会解析内存镜像（历年美亚杯内存镜像检材汇总-附相关命令软件检材下载链接）

本文链接：https://blog.youkuaiyun.com/m0_37867238/article/details/143527140

点击上方蓝字“小谢取证”一起玩耍

前言

针对今年美亚杯资格赛中会出现内存镜像，如果从2019年美亚杯开始算起，2019年美亚杯资格赛出现了内存镜像的题目。通过整理从19年到23年美亚杯所有出现美亚杯的内存镜像发现，出现的年份有21年团体赛 20年团体赛 19年资格赛。总结得出，整理题目难度不大，只要会使用相关插件的命令即可。接下来我们详细地从历年当中出现美亚杯内存镜像进行详细地解析（手把手教你）。粉丝福利：文末附整理好的检材与Volatility工具和常用的命令下载链接。

在题目解析开始之前，先总的来说一下操作方法，即在你面对一个内存镜像的时候你应该怎么做。

面对内存镜像的三种处理方法（所使用到的小工具在文末下载）

方法一：

在取证大师的小程序当中，内存镜像解析工具支持解析Win10镜像。

添加图片注释，不超过 140 字（可选）

//在工具集当中的镜像解析工具支持解析Win7镜像

添加图片注释，不超过 140 字（可选）

//如21年VTM的镜像是Win10 所以在这边直接使用取证大师当中的小程序内存镜像进行解析。

添加图片注释，不超过 140 字（可选）

解析完成：

添加图片注释，不超过 140 字（可选）

方法二：当然，除了会使用自动解析工具以外，还可以使用Volatility。他有GUI版本和命令行版本。我们先讲一下图形化版本的操作方法：

添加图片注释，不超过 140 字（可选）

方法三：命令行版本Volatility

解压后在地址栏上直接输入cmd

添加图片注释，不超过 140 字（可选）

第一步：对内存信息进行获取

判断未知内存镜像系统版本信息

volatility -f 文件路径 imageinfo

imageinfo 用于标识操作系统、service pack和硬件体系结构（32位或64位）；可能有多个建议的配置文件，我们必须选择正确的配置文件

例如：volatility -f mem.vmem imageinfo

添加图片注释，不超过 140 字（可选）

通过这边我们也可以看出方法二中的“profile”如何选择。

（文件路径：找到文件所在位置将该文件拖放到cmd界面即可）

第二步：使用命令

命令格式：

volatility -f 文件镜像 --profile=<运用的东西> <插件名字> <各种命令>

--profile是调用的配置文件，这个要与插件结合起来

命令：pslist/pstree/psscan :非常有用的插件，列出转储时运行的进程的详细信息；显示过程ID，该父进程ID（PPID），线程的数目，把手的数目，日期时间时，过程开始和退出

pslist无法显示隐藏/终止进程，解决这个问题可以使用psscan,

pstree同样也是扫描进程的，但是是以进程树的形式出现的

例如：volatility -f mem.vmem --profile=WinXP SP2 x86 pslist

当内容比较多时候，导出文本进一步分析查看

volatility -f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt

volatility -f bb.raw --profile=Win7SP1x86_23418 pstree

添加图片注释，不超过 140 字（可选）

有了上述的三种方法，接下来回到真题，进入实操复盘：

2021年内存解析（一题多解）：

添加图片注释，不超过 140 字（可选）

//此题考核内存镜像中进程信息的基础知识点

答案：6136

方法一：取证大师

添加图片注释，不超过 140 字（可选）

方法二：Workbench

添加图片注释，不超过 140 字（可选）

方法三：命令行

添加图片注释，不超过 140 字（可选）

答案：C E

方法一：(注意时区即可-取证大师所显示的是北京时间)

添加图片注释，不超过 140 字（可选）

方法二：

添加图片注释，不超过 140 字（可选）

方法三：

添加图片注释，不超过 140 字（可选）

答案：23.200.142.82

//此次为考核内存镜像的网络连接知识点

方法一：//没提取到

添加图片注释，不超过 140 字（可选）

方法二：使用Workbench中的netscan插件

添加图片注释，不超过 140 字（可选）

//explorer 连接了一个 IP 地址的 443 端口，该 IP 地址应为 FTP 服务器。

法三：

命令：volatility -f 文件 --profile=Win10x86 netscan

添加图片注释，不超过 140 字（可选）

2020年（Cole的ram镜像）

89. [单选题] 在Cole笔记本的随机存取记忆体中, 是甚么Windows配置文件？(1分)

A. Win7SP1x64

B. Win7SP1x64_25000

C. Win7SP2x64

D. Win2008R2SP1x64_24418

E. Win2008R2SP2x64.

答案：A

直接使用命令 volatility -f 文件 imageinfo

//考核对内存镜像的基本信息获取知识点

添加图片注释，不超过 140 字（可选）

//这边有很多看第一个即可

[单选题] FTK Imager.exe的PID是甚么? (1分) A. 368 B. 660 C. 1288 D. 2224 E. 2456.

答案：E

//考察应用进程的基本信息

法一：使用取证大师的工具集进行解析（因为是win7系统所以这边不是使用小程序里边的内存解析工具）

添加图片注释，不超过 140 字（可选）

法二：Workbench

添加图片注释，不超过 140 字（可选）

法三：命令行

添加图片注释，不超过 140 字（可选）

98.[单选题] FTK Imager.exe使用甚么DLL？ (1分) A. mmlang.dll B. Normal.dll C. sensapi.dll D. Secu.dll E. WINNS.dll.

答案：；C

//考察查看进程动态链接库信息

法一：

添加图片注释，不超过 140 字（可选）

法二：命令行

dlllist命令：能够显示一个进程装载的动态链接库的信息，其显示列表主要包括加载的动态链接库文件的基地址、文件大小以及文件所在路径。可用 “>” 输出文档，看起来会更直观如volatility -f bb.raw --proifile=Win7SP1x86_23418 dlllist > 1.txt

添加图片注释，不超过 140 字（可选）

99.[单选题] MpCmdRun.exe的PID是甚么? (2分) A. 660 B. 1288 C. 1388 D. 2240 E. 2456.

答案：B

//考察查看隐藏进程psscan命令

法一：

添加图片注释，不超过 140 字（可选）

法二：pslist无法显示隐藏/终止进程，解决这个问题可以使用psscan

例如：volatility -f mem.vmem --profile=WinXP SP2 x86 psscan

添加图片注释，不超过 140 字（可选）

100. [单选题] 以下哪个与MpCmdRun.exe相关的项目是正确？(2分)

A. 该进程于2020-09-17 11:15:57 UTC + 0000创建

B. 该过程于2020-09-18 01:20:57 UTC + 0000终止

C. 该进程由schost.exe启动

D. 该过程是通过网络驱动器启动的

E. 这不是合法程序.

答案：B

//考核所隐藏进程相关信息，答案由上题的解题可看出

101.[单选题] 上次启动后，笔记本计算机连接的外部IP是甚么？ (1分) A. 31.12.82.1 B. 40.10.261.1 C. 218.112.79.1 D. 218.112.172.8 E. 未连接/未连接到任何外部IP.

答案：E

//考察基本网络信息知识点，由图可看出无连接的外部IP

添加图片注释，不超过 140 字（可选）

102. [单选题] 上次启动后，笔记本计算机连接的网络驱动器路径是甚么？ (1分) A. E:/ B. F:/ C. G:/ D. Z:/ E. 未连接/未连接到任何外部IP.

答案：E

//见上题

2019年：HE_Company_Windows_RAM

51 分析何源的公司计算机内存镜像，何源的公司计算机操作系统以及硬件架构是什么？ A. Windows 7 x86 B. Windows 7 x64 C. Windows 8 x86 D. Windows 8 x64 E. Windows 10 x64

添加图片注释，不超过 140 字（可选）

//由于19年资格赛美亚杯内存检材我的内存解析环境有问题，可能需要重启电脑。在这里就引用自：muxin2068大佬的解题思路：https://blog.youkuaiyun.com/muxin2068/article/details/129941501

总结：通过21年与20年、19年美亚杯的内存解析检材来看，都出现的考核点有：1.内存镜像基本信息的获取（imageinfo）2.进程基本信息查看（pslist和psscan（查看隐藏进程）：子进程、父进程及程序关闭时间等） 3.动态链接库查看（dlllist）4.网络信息查看（netscan：某个应用程序所通联的IP地址）特别地， 19年资格赛还出现的考核点：1.查看缓存在内存的注册表(hivelist) 2.获取内存中的系统密码（hashdump）3.文件具体被被访问过的时间（解析MFT记录：mftparser）4.查看访问记录（timeliner）

所以有一个好的笔记及掌握常使用的命令都可迎刃而解。

最后附上福利：