记一些内存取证题

news2024/11/28 15:53:23

生活若循规蹈矩,我们便随心而动

1.Suspicion

给了俩文件

python2 vol.py -f mem.vmem imageinfo

查看可疑进程 

python2 vol.py -f mem.vmem --profile=WinXPSP2x86 pslist

发现可疑进程TrueCrypt.exe 

把这个进程提取出来。memdump -p 进程号 -D 目录

python2 vol.py -f mem.vmem --profile=WinXPSP2x86 memdump -p 2012 -D ./

注:这里不同于下载文件。

下载文件:dumpfiles -Q 0xxxxxxxx -D 目录 

 得到了2012.dmp文件

这时我们需要用到Elcomsoft Forensic Disk Decryptor

2.[湖湘杯2020] passwd

we need sha1(password)!!!

一眼hashdump

volatility -f WIN-BU6IJ7FI9RU-20190927-152050.raw --profile=Win7SP1x86_23418 hashdump

3. [NEWSCTF2021] very-ez-dump

python2 vol.py -f mem.raw --profile=Win7SP1x64 filescan | grep "flag"

发现flag.zip 

python2 vol.py -f mem.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e4b2070 -D ./
 

把他下载下来

 、

发现需要密码。

发现了(ljmmz)ovo

4. 福莱格殿下

啥提示也没有

先filescan看一下。

发现了fl4g.zip

找到了2张图片。

将png放入StegSolve里,发现了二维码。

因为我也不知flag是啥,谐音字为flag{abcdefg}

5.[HDCTF] 你能发现什么蛛丝马迹吗?

python2 vol.py -f memory.img --profile=Win2003SP1x86 filescan | grep "flag"

发现flag.png

得到一个二维码

扫码后得到一串

jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=

解码啥也不是。

猜测缺了个密钥。 

python2 vol.py -f memory.img --profile=Win2003SP1x86 cmdscan

 

发现了进程DumpIt.exe

提取出来

python2 vol.py -f memory.img --profile=Win2003SP1x86 memdump -p 1992 -D ./

得到了1992.dmp

foremost以下,得到了好多东西,但是是我们找到了

一眼AES

6.OtterCTF

1、What the password?

要找密码

先想到hashdump

volatility -f OtterCTF.vmem --profile=Win7SP1x64 hashdump

 但是他是加密的

然后我们再想到lsadump

volatility -f OtterCTF.vmem --profile=Win7SP1x64 lsadump

 

得到密码MortyIsReallyAnOtter

2.General info 

找主机的IP地址和主机名

ip地址:netscan

volatility -f OtterCTF.vmem --profile=Win7SP1x64 netscan

 

192.168.202.131

主机名:可以直接用hivedump

也可以:hivelist

volatility -f OtterCTF.vmem --profile=Win7SP1x64 hivelist

 

volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey  -K ControlSet001

 volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control

 

volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control\ComputerName 

 volatility -f OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control\ComputerName\ComputerName

 

找到了主机名:WIN-LO6FAF3DTFE

3.play time

瑞克只是喜欢玩一些很好的老电子游戏。你知道他在玩什么游戏吗?服务器的IP地址是什么?

晕只知道思路,不知游戏。

思路,pslist查看到游戏进程,然后在netscan里找到对应ip

volatility -f OtterCTF.vmem --profile=Win7SP1x64 pslist

找到游戏名LunarMS

 volatility -f OtterCTF.vmem --profile=Win7SP1x64 netscan | findstr "LunarMS.exe"

找到IP: 77.102.119.102

4.Name Game 

我们知道该帐户登录了一个名为 Lunar-3 的频道。账户名是什么?

 把那个游戏进程提取出来

python2 vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -p 708 -D ./ 

然后用strings 看一下 

strings 708.dmp | grep "Lunar-3" -C 10

 

0tt3r8r33z3

5.Name Game2

通过一点研究,我们发现登录角色的用户名总是在这个签名之后:

0x64 0x??{6-8}0x40 0x06 0x??{18}0x 5a 0x 0 c 0x 00 {2}

瑞克的角色叫什么?格式:CTF{...}

0x64 0x??{6-8}0x40 0x06 0x??{18}0x 5a 0x 0 c 0x 00 {2}意思是16进制64后6-8位是16进制40 16进制06,再18位后是十六进制5a 十六进制0c 十六进制00

 直接把游戏进程放在010里发现了M0rtyLOL

6、Silly Rick

傻里克总是忘记他的电子邮件密码,因此他使用在线存储密码服务来存储他的密码。他总是复制粘贴密码,这样就不会弄错。rick 的电子邮件密码是什么?

复制粘贴:clipboard

volatility -f OtterCTF.vmem --profile=Win7SP1x64 clipboard

找到了:M@il_Pr0vid0rs 


7. [BMZCTF]内存取证三项

一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑也不管自己在电脑上留下的操作急忙离开电脑,故作淡定的说:“我就是随便看看”。 
1.小黑写的啥,据说是flag?

2.那么问题来了,小白的密码是啥?
3.小黑发送的机密文件里面到底是什么

1.写的啥,猜测editbox

 volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 editbox

 

2. 密码:hashdump

volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 hashdump

 

md5解密即可。

19950101

3.黑发送的机密文件里面到底是什么

在cmdscan里找到

然后直接下载这个文件

volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000002c61318 -D ./

密码是生日19950101

flag{Thi5_Is_s3cr3t!}

8.[陇剑杯]内存分析

1.网管小王制作了一个虚拟机文件,让您来分析后作答:
虚拟机的密码是_____________

volatility -f Target.vmem --profile=Win7SP1x64 lsadump 

 

flag{W31C0M3 T0 THiS 34SY F0R3NSiCX} 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1650136.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

QT+网络调试助手+TCP服务器

一、UI界面设计 二、单线程 代码设计 1、 查找合法的本地地址&#xff0c;用于当作服务器的IP地址 #include <QThread> #include <QTcpSocket> #include <QNetworkInterface> #include <QMessageBox>QList<QHostAddress> ipAddressesList QNe…

华为机考入门python3--(23)牛客23- 删除字符串中出现次数最少的字符

分类&#xff1a;字符串 知识点&#xff1a; 访问字典中keychar的值&#xff0c;不存在则返回0 my_dict.get(char, 0) 字典的所有值 my_dict.value() 列表中的最小值 min(my_list) 题目来自【牛客】 import sysdef delete_min_freq_char(s):# 计算字母出现的频次…

Arduino控制继电器,制作智能浇水系统

所需硬件材料 Arduino模块、继电器、直流电机、3-6v电池&#xff08;这个是必须的&#xff0c;电机不能直接接在arduino的5v引脚上&#xff0c;会引起电压不足&#xff09;、杜邦线 实现效果&#xff1a; 电机转动一秒停一秒 将硬件连接如下&#xff1a; 将电机连接到继电…

(MATLAB)安装指南

参考链接&#xff1a;MATLAB2019a安装教程&#xff08;避坑版&#xff09;

应用层协议——HTTP协议

1. 认识HTTP协议 HTTP&#xff08;Hyper Text Transfer Protocol&#xff09;协议又叫做超文本传输协议&#xff0c;是一个简单的请求-响应协议&#xff0c;HTTP通常运行在TCP之上。 超文本的意思就是超越普通的文本&#xff0c;http允许传送文字&#xff0c;图片&#xff0c…

PostgreSQL连接拒绝如何解决和排查?

1. 服务器未运行 解决方案&#xff1a;确保 PostgreSQL 服务已启动。在 Linux 上&#xff0c;你可以使用如下命令来检查服务状态&#xff1a;sudo systemctl status postgresql如果服务未运行&#xff0c;使用以下命令启动它&#xff1a;sudo systemctl start postgresql2. Po…

基于Springboot+Vue的Java项目-旅游网站系统开发实战(附演示视频+源码+LW)

大家好&#xff01;我是程序员一帆&#xff0c;感谢您阅读本文&#xff0c;欢迎一键三连哦。 &#x1f49e;当前专栏&#xff1a;Java毕业设计 精彩专栏推荐&#x1f447;&#x1f3fb;&#x1f447;&#x1f3fb;&#x1f447;&#x1f3fb; &#x1f380; Python毕业设计 &am…

shell脚本编写-测试同一网段内主机是否在线

除了可以使用ansible自动化运维工具判断主机是否在线以外&#xff0c;还可以通过编写Shell脚本来实现。 1、编写脚本 #! /bin/bash #测试192.168.81.0/24网段中哪些主机处于开机状态&#xff0c;哪些主机处于关机状态# #方法一&#xff1a;使用for循环判断 # for i in {1..25…

亿发解密:数据中台管理系统,引领企业数字化转型的智能数据体系

在当今数字化时代&#xff0c;数据已成为企业发展的关键驱动力。为了更好地利用数据&#xff0c;提升业务水平&#xff0c;企业需要建立一套完备的数据管理体系&#xff0c;而数据中台便应运而生。 什么是数据中台 数据中台是集方法论、组织和工具于一体的智能大数据体系。它…

通信录的动态版本

一. 增加需求 在学习了动态开辟内存之后 我们对于通讯录产生了新的需求 要求我们做出一个动态增长的版本 即 随着我们储存联系人的增加 储存的空间增加 要求 &#xff1a; 1 初始空间为3 2 每次达到上限之后 扩容两个内存 二. 动手实施 我们首先要创建一个结构体 结构体…

计算图:深度学习中的链式求导与反向传播引擎

在深度学习的世界中&#xff0c;计算图扮演着至关重要的角色。它不仅是数学计算的图形化表示&#xff0c;更是链式求导与反向传播算法的核心。本文将深入探讨计算图的基本概念、与链式求导的紧密关系及其在反向传播中的应用&#xff0c;旨在为读者提供一个全面而深入的理解。 计…

Springboot项目学习之各组件的用法和逻辑结构

1.Controller层&#xff08;Controller&#xff09;&#xff1a; 也称为前端控制器或请求处理器&#xff0c;它是项目与用户交互的入口。Controller接收HTTP请求&#xff0c;解析请求参数&#xff0c;调用Service层处理业务逻辑&#xff0c;并返回响应给客户端。 Controller通…

Python实现txt转Excel(坐标)

import pandas as pddef txt_to_excel(txt_file, excel_file):# 读取 txt 文件with open(txt_file, r) as f:lines f.readlines()# 将每行数据分割成多个单元格data []for line in lines:row line.strip().split( )data.append(row)# 将数据保存到 Excel 文件df pd.DataFra…

阿里巴巴alibaba国际站API接口:商品详情和关键词搜索商品列表

阿里巴巴国际站&#xff08;Alibaba.com&#xff09;提供了API接口供开发者使用&#xff0c;以实现与平台的数据交互。然而&#xff0c;由于API的详细内容和调用方式可能会随着时间和平台更新而发生变化&#xff0c;以下是一个概述和一般性的指导&#xff0c;关于如何使用阿里巴…

代码随想录第52天|300.最长递增子序列 718. 最长重复子数组

300.最长递增子序列 300. 最长递增子序列 - 力扣&#xff08;LeetCode&#xff09; 代码随想录 (programmercarl.com) 动态规划之子序列问题&#xff0c;元素不连续&#xff01;| LeetCode&#xff1a;300.最长递增子序列_哔哩哔哩_bilibili 给你一个整数数组 nums &#xff0…

xmind的13个快捷方式

1.新建导图 CtrlshiftN 2.编辑文字 空格键 3.插入图片 Ctrli 4. 插入主题 Enter键 5. 插入主题之前 ShiftEnter键 6. 插入子主题 Tab键 7. 放大导图 “Ctrl”“” 8. 缩小导图 “Ctrl”“-” 9. 复制 CtrlInsert 10. 粘贴 Shift Insert 11. 剪切 ShiftDelete 12. 截图 F7 13. 保…

神经网络怎么把隐含层变量融合到损失函数中?

&#x1f3c6;本文收录于「Bug调优」专栏&#xff0c;主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案&#xff0c;希望能够助你一臂之力&#xff0c;帮你早日登顶实现财富自由&#x1f680;&#xff1b;同时&#xff0c;欢迎大家关注&&收藏&&…

Unity初级---初识生命周期

1. Awake() &#xff1a;唤醒函数&#xff0c;最先执行的函数&#xff0c;只执行一次&#xff0c;当脚本文件挂载的对象被激活时调用 2. OnEnable() &#xff0c;OnDisable()&#xff1a;当脚本启用和禁用时触发&#xff0c;可执行多次&#xff0c;触发的前提是脚本挂载的对象…

SolidWorks进行热力学有限元分析一、模型建立

1.话不多说按照我的操作来 2.这一步鼠标移到中心点直接拉就行 3.这里选单位&#xff0c;继续按照操作来 4.选中这个边&#xff0c;直接拉&#xff0c;输入尺寸后确定&#xff0c;其他边同理 5.鼠标右键设置厚度 6.右键零件&#xff0c;然后编辑材料&#xff0c;给他赋予你需要的…

纯血鸿蒙APP实战开发——折叠屏扫描二维码方案

折叠屏扫描二维码方案 介绍 本示例介绍使用自定义界面扫码能力在折叠屏设备中实现折叠态切换适配。自定义界面扫码使用系统能力customScan&#xff0c;其提供相机流的初始化、启动扫码、识别、停止扫码、释放相机流资源等能力。折叠屏折叠状态通过监听display的foldStatusCha…