全国职业技能大赛网络安全-金砖技能大赛——应急响应内存镜像分析(超详细解析)

news2024/11/25 13:21:01

全国职业技能大赛网络安全-金砖技能大赛——应急响应内存镜像分析(超详细解析)


背景:作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。 应急响应阶段题目主要包含:Windows 内存镜像分析,Linux 内存镜像分析, 磁盘文件恢复,恶意程序分析等内容。

项目 1. 内存镜像分析
任务一 Windows 内存镜像分析

你作为 A 公司的应急响应人员,请分析提供的内存文件按照下面的要求找到 相关关键信息,完成应急响应事件。

1、从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);   

    //列举用户及密码
    //volatility -f 1.vmem --profile=Win7SP1x86 printkey -K"SAM\Domains\Account\Users\Names"
    //从内存中获取密码哈希
    //volatility -f 1.vmem  --profile=Win7SP1x86 hivelist
    //从内存中获取密码哈希
    volatility -f 1.vmem  --profile=Win7SP1x86 hashdump  (可以跟-f 也可以跟sam system的进程)
    //尝试利用网站解密 解不开
    md5:29fb61bd2963b1975cf435a2565af910

    mimikatz插件也可以
    使用自带的工具
    volatility -f 1.vmem --profile=Win7SP1x64 lsadump  

得到md5   406990ff88f13dac3c9debbc0769588c 这个也是答案

 flag{admin.dfsddew}

2、获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;

 volatility -f 1.vmem --profile=Win7SP1x64 hivelist 查看注册表

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

 volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"  

答案  WIN-9FBAEH4UV8C
volatility -f 1.vmem --profile=Win7SP1x64 netscan     (获取IP地址)

 答案 192.168.85.129

 flag{192.168.85.129:WIN-9FBAEH4UV8C}

3、获取当前系统浏览器搜索过的关键词,作为 Flag 提交;

 volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 iehistory

flag{admin@file:///C:/Users/admin/Desktop/flag.txt}

4、当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交; volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 netscan

 flag{54.36.109.161:2222}

5、恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。

    上题已经看到进程

    volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 pslist -p 2588

再查看服务
 volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 svcscan

 
flag{VMnetDHCP}


内存-进程取证

前期知识:

pslist显示进程        cmdscan显示cmd历史命令

在这里插入图片描述

memdump -p 332 -D XX/ 提取进程   -p 进程号 -D 当前输出路径(导出为332.dmp)

dump出来的进程文件,可以使用 foremost 来分离里面的文件,用 binwak -e 不推荐

strings -e l 2040.dmp | grep flag 查找flag

在这里插入图片描述

使用hivelist查看注册表

1.从内存文件中找到异常程序的进程,将进程的名称作为Flag值提交;

    pstree查看进程树  3720 这个进程PPID比PID还大。

    DLL  dlllist -p 查看一下这个进程的查看一下这个进程的DLL,发现程序是在temp目录下执行的,那这个应该就是恶意软件进程了。

    flag{3720}

2.从内存文件中找到黑客将异常程序迁移后的进程编号,将迁移后的进程编号作为Flag值提交;

     通过*.exe的pid *

    查看一下网络连接,注意因为这个版本为2003所以无法使用netscan只能使用connections

发现可疑test进程的pid 并且响应的ip地址与剩下两个进程相同,判断为迁移后的进程编号

3.从内存文件中找到受害者访问的网站恶意链接,将网站的恶意链接作为Flag值提交;

    ehistory 历史记录

4.从内存文件中找到异常程序植入到系统的开机自启痕迹,使用Volatility工具分析出异常程序在注册表中植入的开机自启项的Virtual地址,将Virtual地址作为Flag值提交;

    查看注册表hivelist

 0xe171b008就是虚拟内存

    0x1d73e008 \Device\HarddiskVolume1\WINDOWS\system32\config\software

    解析是否存在开机自启项:

    -o 0xe200f830 printkey

发现了windows注册表,接着访问windows下的注册表

 -o 0xe171b008 printkey -K "Microsoft\windows"
  -o 0xe171b008 printkey -K "Microsoft\windows\CurrentVersion\Run"

5.从内存文件中找到异常程序植入到系统的开机自启痕迹,将启动项最后一次更新的时间作为Flag值(只提交年月日,例如:20210314)提交。

shimcache


 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/102091.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

美少女怒肝20天用C语言写出的排序集合

文章目录 排序的概念一、常见的排序算法二、代码实现总结排序的概念 排序:所谓排序,就是使一串记录,按照其中的某个或某些关键字的大小,递增或递减的排列起来的操作。稳定性:假定在待排序的记录序列中,存在…

作为前端,你是否了解链表这种数据结构?

在面试中只要被问到React Hooks就常被问到为什么Hooks不能在循环和条件判断嵌套函数当中使用;相信很多人都知道标准答案,【因为声明的Hooks保存在链表当中】,但是你真的知道链表吗? 什么是链表 我们先看来看一个简单的单向链表结…

华为珍藏版:SpringBoot全优笔记,面面俱到太全了

前言 作为开发人员,对于Spring全家桶肯定是不陌生的,而来自于Spring大家族的Spring Boot,作为Spring团队提供的流行框架,它的存在解决的Spring框架使用较为繁琐的问题,所以掌握SpringBoot是精通Spring必不可少的一个过…

[附源码]Python计算机毕业设计Django血库管理系统

项目运行 环境配置: Pychram社区版 python3.7.7 Mysql5.7 HBuilderXlist pipNavicat11Djangonodejs。 项目技术: django python Vue 等等组成,B/S模式 pychram管理等等。 环境需要 1.运行环境:最好是python3.7.7,…

[附源码]计算机毕业设计Node.js-Bigbaby美食网站(程序+LW)

项目运行 环境配置: Node.js最新版 Vscode Mysql5.7 HBuilderXNavicat11Vue。 项目技术: Express框架 Node.js Vue 等等组成,B/S模式 Vscode管理前后端分离等等。 环境需要 1.运行环境:最好是Nodejs最新版,我…

《Go语言并发之道》读书笔记

《Go语言并发之道》第一章: 并发概述第二章:对你的代码建模:通信顺序进程第三章:GO语言并发组件由于不怎么熟悉GO,只做简单的摘录,敲敲示例代码 鸭子类型:当看到一只鸟走起来像鸭子、游泳起来像…

微服务框架 SpringCloud微服务架构 多级缓存 49 缓存同步 49.3 监听Canal

微服务框架 【SpringCloudRabbitMQDockerRedis搜索分布式,系统详解springcloud微服务技术栈课程|黑马程序员Java微服务】 多级缓存 文章目录微服务框架多级缓存49 缓存同步49.3 监听Canal49.3.1 Canal 客户端49 缓存同步 49.3 监听Canal 49.3.1 Canal 客户端 C…

深耕无线通讯细分领域 可信华成产品受市场青睐

深圳市可信华成通信科技有限公司(以下简称可信华成),成立于2010年,是一家在无线通信领域中崛起的集研发、智能制造、销售为一体的国家高新技术企业,深圳市专精特新企业; 注册资金2200万元,员工8…

【图像压缩】余弦变换及霍夫曼编码jpeg压缩和解压【含Matlab源码 2086期】

⛄一、DCT图像无损压缩简介 1 图像压缩 图像压缩按照压缩过程中是否有信息的损失以及解压后与原始图像是否有误差可以分为无损压缩和有损压缩两大类。无损压缩是指不损失图像质量的压缩,它是对文件的存储方式进行优化,采用某种算法表示重复的数据信息&a…

网络安全——【收藏】网络设备安全加固规范

一、Cisco网络设备安全基线规范 本建议用于Cisco路由器和基于Cisco IOS的交换机及其三层处理模块,其软件版本为CISCO IOS 12.0及以上版本。加固前应该先备份系统配置文件。 01 账号管理、认证授权 1.1.本机认证和授权 初始模式下,设备内一般建有没有…

Linux——用户、组的管理以及文件的权限设置

一、用户和组 Linux系统中的用户唯一的标识码为用户ID,即UID,每个用户至少属于一个组,即为用户分组。用户分组存在唯一的标识码,为GID。不同的用户拥有不同的权限。 1.认识用户账号文件/etc/passwd和用户影子文件/et…

Java项目:SSM汽车租车管理系统

作者主页:源码空间站2022 简介:Java领域优质创作者、Java项目、学习资料、技术互助 文末获取源码 项目介绍 本项目包含管理员、普通用户两种角色; 管理员主要功能包括: 后台首页、停车位信息管理、车辆求租信息审核、车辆出租信息…

热门技术中的应用:容器技术中的网络-第31讲-容器网络之Calico:为高效说出善意的谎言

上一节我们讲了Flannel如何解决容器跨主机互通的问题,这个解决方式其实和虚拟机的网络互通模式是差不多的,都是通过隧道。但是Flannel有一个非常好的模式,就是给不同的物理机设置不同网段,这一点和虚拟机的Overlay的模式完全不一样。 在虚拟机的场景下,整个网段在所有的物…

操作系统(3)银行家算法模拟实现

参考博客&#xff1a;银行家算法详解&#xff08;C语言&#xff09;_Sparky*的博客-CSDN博客_银行家问题c语言 1. 效果展示 2. 程序流程图 3. 数据结构设计 /**定义数据结构*/ vector<vector<int>> Max;// 最大需求矩阵 vector<vector<int>> Allocat…

小白如何入门Python爬虫?这是我见过最详细的入门教学

本文针对初学者&#xff0c;我会用最简单的案例告诉你如何入门python爬虫&#xff01; 想要入门Python 爬虫首先需要解决四个问题 熟悉python编程 了解HTML 了解网络爬虫的基本原理 学习使用python爬虫库 01了解什么是爬虫&#xff0c;它的基本流程是什么&#xff1f; 网络…

IDEA 2022 之 Lombok 使用 教程

文章目录**1.Lombok是什么****1.1 Lombok 是什么&#xff1f;****Lombok 引入**2、POM 中引入依赖3、IDE 中安装插件**4. Lombok 使用****4.1 Lombok 使用注意**5.代码案例&#xff1a;**Lombok 原理**6. 常用注解结语1.Lombok是什么 ​ Lombok是使用java编写的一款开源类库。…

【Redis】Redis缓存穿透、缓存雪崩、缓存击穿详解与解决办法(Redis专栏启动)

&#x1f4eb;作者简介&#xff1a;小明java问道之路&#xff0c;专注于研究 Java/ Liunx内核/ C及汇编/计算机底层原理/源码&#xff0c;就职于大型金融公司后端高级工程师&#xff0c;擅长交易领域的高安全/可用/并发/性能的架构设计与演进、系统优化与稳定性建设。 &#x1…

Java项目:springboot大学生实习管理系统

作者主页&#xff1a;源码空间站2022 简介&#xff1a;Java领域优质创作者、Java项目、学习资料、技术互助 文末获取源码 项目介绍 本系统的用户可以分为三种&#xff1a;管理员、教师、学生。三种角色登录后会有不同菜单界面&#xff1b; 管理员主要功能&#xff1a; 信息管…

graalvm 拯救生命,速速入手

graalvm 拯救生命&#xff0c;速速入手 标题很夸张&#xff0c;graalvm怎么就拯救生命了&#xff1f;把一个启动5-6秒的项目加速到3秒启动&#xff0c;不就是在拯救生命&#xff0c;拯救发际线吗&#xff1f; 我在上一篇博客"SpringBoot3.0工程建立"末尾启动了工程…

高级网络应用复习——三层热备生成树速端口OSPF实验(带命令)

作者简介&#xff1a;一名在校云计算网络运维学生、每天分享网络运维的学习经验、和学习笔记。 座右铭&#xff1a;低头赶路&#xff0c;敬事如仪 个人主页&#xff1a;网络豆的主页​​​​​​ 目录 前言 一.知识点总结 路由器热备份技术HSRP &#xff08;思科私有 HS…