windows内存取证-简单

news2024/12/24 0:35:31

使用工具:

volatility3-develop

题干:

作为 Security Blue 团队的成员,您的任务是使用 Redline 和 Volatility 工具分析内存转储。您的目标是跟踪攻击者在受感染计算机上采取的步骤,并确定他们如何设法绕过网络入侵检测系统“NIDS”。您的调查将涉及识别攻击中使用的特定恶意软件系列及其特征。此外,您的任务是识别和缓解攻击者留下的任何痕迹或足迹。

1.可疑进程的名称是什么?

这里必须使用3版本的vol脚本,笔者尝试使用2.6版本的,但是半天也获取不到imageinfo信息,因为不知道咋回事,最后使用3版本的vol,挨个试了一下才能用

python vol.py -f ../../MemoryDump.mem windows.psscan  

在这里插入图片描述
没有人能只凭借进程的名称就猜到谁有问题,除非这个进程叫rootkit.exe,所以这里还得联动其他的插件去排查,下列命令为扫描恶意代码

python vol.py -f ../../MemoryDump.mem windows.malfind

在这里插入图片描述
oneetx.exe 基本吻合,但是由于不确定到底是不是,所以需要按照这个pid把东西导出来,这里面也有坑,笔者原本指向按照pid转储进程,或者按照physaddr 转储,但是转出来的不是空文件,就是好几个Gb的mem文件,或者啥也不是的东西,所以这里只能按照进程转储文件

python vol.py -f ../../MemoryDump.mem windows.dumpfiles --pid 5896 

这里会转储出来很多很多的东西
在这里插入图片描述
大家可以对比一下这个文件

md5sum file.0xad818da36c30.0xad818ca48660.ImageSectionObject.oneetx.exe.img

在这里插入图片描述
在这里插入图片描述

2.可疑进程的子进程名称是什么?

python vol.py -f ../../MemoryDump.mem windows.pstree 

在这里插入图片描述
rundll32.exe

3.应用于可疑进程内存区域的内存保护是什么?

python vol.py -f ../../MemoryDump.mem windows.vadinfo | grep oneetx.exe

在这里插入图片描述

python vol.py -f ../../MemoryDump.mem windows.vadinfo  --pid 5896

在这里插入图片描述

4.负责 VPN 连接的进程的名称是什么?

python vol.py -f ../../MemoryDump.mem windows.psscan

在这里插入图片描述
说实话这个没用过的人猜不出来,如果写这个那就错了

python vol.py -f ../../MemoryDump.mem windows.pstree

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
具有一定的迷惑行为,所以vpn的进程应该是Outline.exe

5.攻击者的 IP 地址是什么?

python vol.py -f ../../MemoryDump.mem windows.netscan | grep -10  oneetx.exe

在这里插入图片描述
77.91.124.20
在这里插入图片描述

6.恶意软件家族的名称是什么?

这里是真没答上来,最后看了一下大佬的,发现他们也没有一个思路,最后也都是看题目,根据redline来检索文件,觉得有些牵强

strings ../../MemoryDump.mem| grep Redline

在这里插入图片描述

7.攻击者访问的PHP文件的完整URL是什么?

strings ../../MemoryDump.mem| grep 77.91.124.20 -10 

在这里插入图片描述
http://77.91.124.20/store/games/index.php

8.恶意可执行文件的完整路径是什么?

strings ../../MemoryDump.mem| grep oneetx.exe

在这里插入图片描述
C:\Users\Tammam\AppData\Local\Temp\c3912af058\oneetx.exe

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1185934.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

设计模式—结构型模式之装饰器模式

设计模式—结构型模式之装饰器模式 适配器是连接两个类,可以增强一个类,装饰器是增强一个类。 向一个现有的对象添加新的功能,同时又不改变其结构。属于对象结构型模式。 创建了一个装饰类,用来包装原有的类,并在保…

【Linux】进程的基本概念和进程控制

TOC 目录 一.冯诺依曼体系结构 二. 操作系统(Operator System) 概念 设计OS的目的 定位 总结 系统调用和库函数概念 进程 基本概念 描述进程-PCB task_struct-PCB的一种 task_ struct内容分类 组织进程 查看进程 通过系统调用获取进程标识符 进程状态 D--深度…

使用决策树预测隐形眼镜类型

任务描述 本关任务:编写一个例子讲解决策树如何预测患者需要佩戴的隐形眼镜类型。使用小数据集,我们就可以利用决策树学到很多知识:眼科医生是如何判断患者需要佩戴的镜片类型,一旦理解了决策树的工作原理,我们甚至也…

Process Monitor 进程监控器 exe监控 windows程序监控

以查看 百度网盘 为例 Process Monitor 进程监控器 Process Monitor(进程监视器) 这个Windows系统进程监控工具相关。Process Monitor是一个免费的系统监视和故障排除工具,可以实时监视系统进程、线程、文件操作、注册表操作等,生成活动日志,可以用来分析系统和程序的行为。 下…

Redis系列之常见数据类型应用场景

文章目录 String简单介绍常见命令应用场景 Hash简单介绍常见命令应用场景 List简单介绍常见命令应用场景 Set简单介绍常见命令应用场景 Sorted Set(Zset)简单介绍常见命令应用场景 Bitmap简单介绍常见命令应用场景 附录 Redis支持多种数据类型,比如String、hash、li…

基于JavaWeb的网上销售系统设计与实现

项目描述 临近学期结束,还是毕业设计,你还在做java程序网络编程,期末作业,老师的作业要求觉得大了吗?不知道毕业设计该怎么办?网页功能的数量是否太多?没有合适的类型或系统?等等。这里根据疫情当下,你想解决的问…

基于OCC+OSG集成框架下的GMSH之二阶网格划分探索

二阶网格相对于一阶网格,其计算节点数量更多,具体表现在一个一阶网格下的三角形中的每个边的中点构建一个点,对一阶三角形网格划分成四个三角形。gmsh提供了网格阶数设置,一般默认是一阶网格,本人根据gmsh文档&#xf…

To create the 45th Olympic logo by using CSS

You are required to create the 45th Olympic logo by using CSS. The logo is composed of five rings and three rectangles with rounded corners. The HTML code has been given. It is not allowed to add, edit, or delete any HTML elements. 私信完整源码 <!DOCT…

浅析Python数据处理的相关内容及要点

文章目录 前言一、Numpy1.Numpy属性2.Numpy创建3.Numpy运算4.Numpy索引5.Numpy其他 二、Pandas1.Pandas数据结构2.Pandas查看数据3.Pandas选择数据4.Pandas处理丢失数据5.Pandas合并数据6.Pandas导入导出 三、Matplotlib关于Python技术储备一、Python所有方向的学习路线二、Pyt…

单病种上报系统如何促进医院单病种质控管理

米软单病种上报系统自面市以来&#xff0c;一直以产品实力取胜&#xff0c;在助力医院实现病例数据快速、准确上报后&#xff0c;米软将自我优化重心投向了单病种医疗质量控制。 从填报过程监管&#xff0c;到结果分析、预警整改&#xff0c;米软重视质控的数据管理及应用。通过…

电机控制::理论分析::延迟环节对系统的影响

控制工程与理论 - 知乎 (zhihu.com) 浅论控制器的增益大小 (上) - 知乎 (zhihu.com) 浅论控制器的增益大小 (下) - 知乎 (zhihu.com) 延迟环节对控制系统的影响_延时环节的传递函数-CSDN博客

springboot 项目升级 2.7.16 踩坑

记录一下项目更新版本依赖踩坑 这个是项目最早的版本依赖 这里最初是最初是升级到 2.5.7 偷了个懒 这个版本的兼容性比较强 就选了这版本 也不用去修改就手动的去换了一下RabbitMQ的依赖 因为这边项目有AMQP 风险预警 1.spring-amqp版本低于2.4.17的用户应升级到2.4.17 2.spri…

C++ [继承]

本文已收录至《C语言和高级数据结构》专栏&#xff01; 作者&#xff1a;ARMCSKGT 继承 前言正文继承的概念及定义继承的概念继承的定义重定义 基类和派生类对象赋值转换派生类中的默认成员函数隐式调用显示调用 继承中的友元与静态成员友元静态成员 菱形继承概念 虚继承原理继…

C++|前言

c|前言 一、什么是C二、C发展史三、C的重要性3.1语言的使用广泛度3.2工作领域3.3校招领域 四、如何学习C4.1别人怎么学4.2自己怎么学 一、什么是C 在上回书已经学习了C语言&#xff0c;我们知道C语言是面向过程语言&#xff0c;C语言是结构化和模块化的语言&#xff0c;适合处理…

适合汽车音频系统的ADAU1977WBCPZ、ADAU1978WBCPZ、ADAU1979WBCPZ四通道 ADC,24-bit,音频

一、ADAU1977WBCPZ 集成诊断功能的四通道ADC&#xff0c;音频 24 b 192k IC&#xff0c;SPI 40LFCSP ADAU1977集成4个高性能模数转换器(ADC)&#xff0c;其直接耦合输入具有10 V rms性能。该ADC采用多位Σ-Δ架构&#xff0c;其连续时间前端能够实现低EMI性能。它可以直接连接…

vue3 开启 https

1、安装mkcert证书创建器 npm i mkcert -g 2、检验是否安装成功 mkcert --version 有版本好出现则成功 3、创建证书颁发机构 mkcert create-ca 会在当前目录生成&#xff0c;ca.crt 和 ca.key 两个文件 4、创建证书 mkcert create-cert 会在当前目录生成&#xff0c;…

ElementUI之el-progress动态修改进度条里面文本颜色与进度条色块统一

1.效果&#xff1a; 2.实现方式 通过行内style样式动态给整个progress赋颜色 再在样式里给进度条文字单独设置颜色为默认继承父级颜色就ok啦 <el-progress class"custom-progress" stroke-linecap"square" :style"{color:item.color}" :colo…

BAM(Bottleneck Attention Module)

BAM&#xff08;Bottleneck Attention Module&#xff09;是一种用于计算机视觉领域的深度学习模型结构&#xff0c;它旨在提高神经网络对图像的特征提取和感受野处理能力。BAM模块引入了通道注意力机制&#xff0c;能够自适应地加强或减弱不同通道的特征响应&#xff0c;从而提…

【斗破年番】彩鳞默认火火碰自己香肩,提其他女人,女王表示妒忌

Hello,小伙伴们&#xff0c;我是小郑继续为大家深度解析国漫资讯。 深度爆料&#xff0c;《斗破苍穹》年番国漫第69话最新剧情解析&#xff0c;主角萧炎来到了蛇人族的新部落。美杜莎是蛇人族的女王&#xff0c;她的威严和力量使她在族中拥有极高的地位。 在部落中&#xff0c…

通过创建自定义标签来扩展HTML

使用HTML时&#xff0c;例如&#xff0c;使用<b>标记显示粗体文本。 如果需要列表&#xff0c;则对每个列表项使用<ul>标记及其子标记<li> 。 标签由浏览器解释&#xff0c;并与CSS一起确定网页内容的显示方式以及部分内容的行为。 有时&#xff0c;仅使用一…