你能发现什么蛛丝马迹吗

最新推荐文章于 2025-03-27 16:13:47 发布
原创 最新推荐文章于 2025-03-27 16:13:47 发布 · 421 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细讲述了使用volatility工具对Win2003镜像进行取证的过程,涉及进程分析、内存导出、字符串搜索,最终解码flag。关键步骤包括识别TrueCrypt等工具进程并提取相关内存,展示了数字取证技术的应用。

题目链接

https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97

解题过程

在这里插入图片描述打开题目是个镜像文件:memory.img

在这里插入图片描述考虑使用volatility取证工具。将memory.img复制到kali中,用volatility分析:

volatility imageinfo -f memory.img

是Win2003镜像

在这里插入图片描述分析进程信息:

volatility  -f memory.img --profile=Win2003SP2x86 pslist

在这里插入图片描述
一般,常见windows工具进程名:

  1. TrueCrypt.exe 磁盘加密工具
  2. notepad.exe 自带记事本
  3. mspaint.exe 自带画图工具
  4. iexplore.exe IE浏览器
  5. DumpIt.exe 内存镜像提取工具
  6. explorer.exe 资源管理器
    以上这些进程需要注意。
    导出进程1992(explorer.exe)和3660(DumpIt.exe):
volatility  -f memory.img --profile=Win2003SP2x86 memdump -p 3660 --dump-dir=./  
volatility  -f memory.img --profile=Win2003SP2x86 memdump -p 1992 --dump-dir=./

在这里插入图片描述在这里插入图片描述
用strings命令分析dmp中是否包含flag信息:

strings -e l 3660.dmp | grep flag
strings -e l 1992.dmp | grep flag

在这里插入图片描述
显示dmp包里有张flag.png的图片。用foremost工具分离dmp包

在这里插入图片描述
在1992.dmp( DumpIt.exe)里发现二维码和密钥图片,二3660.dmp(DumpIt.exe)只有二维码图片。

在这里插入图片描述在这里插入图片描述
用微微二维码工具解码:

在这里插入图片描述得到解码结果:

jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=

在线工具AES解码:

在这里插入图片描述得到flag:

flag{F0uNd_s0m3th1ng_1n_M3mory}

小结

1.知识点:数字取证。volatility工具的使用。

BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹
yzl_007的博客
11-14 1388
BUUCTF - misc [HDCTF2019]你能发现什么蛛丝马迹吗 打开一个镜像文件 分析镜像,看一下文件的profile值,确定内存镜像的版本 volatility -f memory.img imageinfo 接下来搜索一下进程,看看出题人做了些什么操作 仔细看一眼时间,试试最后那个,时间最近的操作 因为是win2003,查看一下这个操作从cmd命令 volatility -f memory.img --profile=Win2003SP1x86 cmdscan dump下来,pid是
BUUCTF [HDCTF2019]你能发现什么蛛丝马迹
qq_51447967的博客
04-28 815
题目分析 下载到一个.img后缀的文件,其实就是一个软盘的镜像文件,和ISO的镜像差不多,一看这种类型的就是取证了。这里应该是内存取证,使用Volatility工具镜像内存的分析。 首先查看镜像的系统版本 vol.py -f ./memory.img imageinfo 得到 主要看Profile属性,这里显示了三个可能的操作系统版本,都可以试试。 在指定了版本之后查看进程 vol.py -f memory.img --profile=Win2003SP1x86 pslist 得
buu的几道misc题
qq_44640313的博客
04-20 399
VeraCrypt挂载和内存分析和AES解密,TLS协议
BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹
末初 · mochu7
11-20 3194
https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97 memory.img Volatility分析 查看文件的Profile volatility -f memory.img imageinfo 猜测为:Win2003SP1x86 查看进程 volatility -f mem
BuuCTF难题详解| Misc | [HDCTF2019]你能发现什么蛛丝马迹
pone2233的博客
12-15 2151
题目介绍 这道题目,是一道非常典型的内存取证的题目,相信会了这道题目,大家会对内存取证更加喜欢。 [HDCTF2019]你能发现什么蛛丝马迹吗 下载文件一看就是一个内存取证的题目,我们先看看版本 :volatility.exe -f memory.img imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG sear
蛛丝马迹.doc
09-20
这些线索虽然不起眼,但往往能起到关键作用,引导人们发现事实的真相。 在现代社会,“蛛丝马迹”这一成语被广泛运用于侦探调查、科研探索,甚至是日常问题的解决中。它代表了一种对细节的重视,一种对真相不放弃的...
freedns.ws 批量解析是否有毒没经过测试
04-04
4. **了解许可**:阅读服务的使用条款和隐私政策,确保你知道如何以及何时可以使用工具。 5. **行为谨慎**:不要提供敏感信息,除非完全理解工具的工作方式和目的。 最后,对于任何网络工具的使用,保持警惕和良好...
EXIF信息实战:从照片属性中挖掘CTF赛题的蛛丝马迹.pdf
06-10
从隐写术到编码转换,从音频隐写到文件结构分析,CTF-Misc 教会你用技术的眼睛发现数据中的「彩蛋」。掌握 Stegsolve、CyberChef、Audacity 等工具,合法破解摩斯密码、二维码、LSB 隐写,在虚拟战场中提升网络安全...
[HDCTF2019]你能发现什么蛛丝马迹
2401_86835152的博客
03-27 417
misc 第5页
CTFHub_历年真题_MISC——“图片修复”、“磁盘恢复”、“蛛丝马迹
Ho1aAs‘s Blog
07-24 7270
文章目录使用工具解题过程Ⅰ、图片修复Ⅱ、磁盘恢复Ⅲ、蛛丝马迹完 –>CTFHub传送门<– 使用工具 winhex Photoshop Wireshark 解题过程 Ⅰ、图片修复 附件是损坏的GIF文件 首先看看GIF的文件头,果然,文件头缺失 –>文件头大全传送门<– 使用winhex修复文件头47494638 在第一个字符“47”之后添加3组0字节,右键——编辑——添加零字节 修改后GIF正常显示 FLAG存在于其中两张动图上,使用PS分离 Ⅱ、磁盘恢复 附件是W
JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞(1)
2301_77033340的博客
04-15 828
【代码】JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞(1)
[FSCTF 2023]寻找蛛丝马迹
2301_80243833的博客
08-09 542
由此我们得到flag的四段:tH@t_y000 上面说第五段和苹果有关系,看到苹果我们联想到了 .DS_store 这里做一下简单的介绍:.DS_Store(英文全称 Desktop Services Store)是一种由苹果公司的Mac OS X操作系统所创造的隐藏文件,目的在于存贮目录的自定义属性。由此我们找到了flag的第三段:oInT_oUt_。接着我们发现找不到flag的第四段,我们就知道剩下的flag没有藏在页面源码里。该页面中附有乱码,我们用火狐浏览器自带的修复乱码的工具进行修复。
【CTF-Misc】积累思路篇
LeeOrange_45的博客
03-30 687
misc积累思路吧
BUUCTF:7月做题记录
qq_46230755的博客
07-19 2087
摸鱼嘿嘿嘿
CTFHUB历年真题练习
qq_51558360的博客
10-11 1687
WebsiteManger 考点 布尔盲注、SSRF 尝试了一般登录方法没有反应。查看源码发现sql注入的利用点在图片上 盲注脚本 import string from requests import * allstr = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\]^_`{|}~' myurl = 'http://challenge-1993b
内存取证-Volatility安装使用以及一些CTF比赛题目
热门推荐
Bnessy
04-02 3万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
BUUCTF MISC刷题笔记(四)
volcano的博客
05-08 1万+
BUUOJMisc[RCTF2019]disk[MRCTF2020]小O的考研复试[HDCTF2019]你能发现什么蛛丝马迹吗[BSidesSF2019]table-tennis[CFI-CTF 2018]webLogon capturekey不在这里很好的色彩呃?[INSHack2018]Self Congratulation[GUET-CTF2019]520的暗示greatescape[ACTF新生赛2020]frequency Misc [RCTF2019]disk 这个题本来是有提示的,buu这里没
强网杯2021 ctf线上赛ezmath wp(#超详细,带逆向新手走过一个又一个小坑)
漫小牛的博客
06-21 4725
文章目录引言第一步、分析文件类型1.可执行文件判断 引言 这是强网杯2021中的一道Reverse题,将附件进行下载,名称为ezmath,名称为chall,说明这道题跟数学有关,都说ctf比赛三大谎言:ez、eazy和baby,名称简单,实则并不简单。做出这道题,需要的数学知识远远大于逆向知识。 题目附件: 链接:https://pan.baidu.com/s/13TheaHB7XcbGnBp-M1N5Rg 提取码:k4pm 第一步、分析文件类型 1.可执行文件判断 使用Exeinfo PE查看文件的类型,
金砖赛流量溯源A集团的一台服务器遭受到了恶意攻击,你现在是一名安全工程师,请你通过分析可以流量文件找出其中的蛛丝马迹。访问靶机SMB服务下载附件查找黑客的ip地址
最新发布
08-17
在分析流量文件以定位攻击来源的过程中,通常需要使用网络分析工具(如 Wireshark)对流量包进行深入分析。通过查看流量包中的数据流,可以识别出异常的请求、源 IP 地址以及目标 IP 地址,从而定位攻击来源。 在本次任务中,攻击流量可能与 A 集团服务器相关,并且攻击者可能通过 SMB 服务进行入侵或横向移动。因此,可以按照以下步骤进行分析: ### 1. 使用 Wireshark 分析流量文件 使用 Wireshark 打开从服务器导出的流量文件,查看所有通信数据流。重点查找以下特征: - 异常的 SMB 请求(如未授权访问、大量文件读取等) - 来自非正常客户端的连接请求 - 大量 TCP/UDP 连接尝试,可能表示扫描行为 - 明显的攻击特征,如缓冲区溢出、远程代码执行等 通过过滤器(如 `smb` 或 `ip.dst == A集团服务器IP`)可以缩小分析范围,专注于与目标服务器相关的流量。 ### 2. 定位黑客 IP 地址 在流量文件中查找以下信息以定位黑客 IP: - 源 IP 地址(`ip.src`)频繁连接或发送异常请求 - 与 A 集团服务器建立 SMB 连接的外部 IP 地址 - 与攻击行为相关的特定协议(如 `SMB`、`RDP`、`SSH`)的异常交互 例如,在 Wireshark 中使用以下过滤器可以快速定位 SMB 流量: ```bash smb && ip.dst == <A集团服务器IP> ``` 分析这些流量后,可以提取出黑客使用的 IP 地址,并将其作为证据提交。 ### 3. 下载附件并分析 根据任务描述,需访问靶机的 SMB 服务下载附件文件(如 MISC.zip),并从中提取黑客 IP。可以使用如下命令访问 SMB 服务: ```bash smbclient //<靶机IP>/共享目录 -U 用户名%密码 ``` 进入共享目录后,下载附件文件(如 MISC.zip),解压后分析其中的内容。黑客 IP 可能隐藏在文件的元数据、日志内容或特定标记中(如 flag 标识)。 ### 4. 提取黑客 IP 在附件文件中查找以下内容以提取黑客 IP: - 文件名或内容中包含 `flag{}` 的标记,可能直接包含 IP 地址 - 日志文件中记录的连接来源 IP - 网络配置文件中的远程连接记录 例如,在文件中发现如下内容: ```text flag{192.168.1.100} ``` 则黑客 IP 为 `192.168.1.100`。 ### 示例代码:使用 Python 提取流量中的 SMB 请求 IP ```python from scapy.all import * # 读取 pcap 文件 packets = rdpcap("traffic.pcap") # 查找 SMB 请求中的源 IP smb_ips = set() for pkt in packets: if pkt.haslayer(TCP) and pkt[TCP].dport == 445: # SMB 端口为 445 smb_ips.add(pkt[IP].src) # 输出所有 SMB 请求的源 IP print("SMB 请求来源 IP 地址:") for ip in smb_ips: print(ip) ``` 通过上述方法,可以有效地从流量文件中提取黑客 IP,并结合附件文件中的信息完成任务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wangjin7356

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值