-
内存取证系列1
文档说明
作者:SwBack
时间:2022-5-5 11:05挑战说明
- 我姐姐的电脑坏了。我们非常幸运地恢复了这个内存转储。你的工作是从系统中获取她所有的重要文件。根据我们的记忆,我们突然看到一个黑色的窗口弹出,上面有一些正在执行的东西。坠机发生时,她正试图画一些东西。这就是我们从坠机时所记得的一切。
注意: 此挑战由 3 个标志组成。
- My sister’s computer crashed. We were very fortunate to recover this memory dump. Your job is get all her important files from the system. From what we remember, we suddenly saw a black window pop up with some thing being executed. When the crash happened, she was trying to draw something. Thats all we remember from the time of crash.
Note: This challenge is composed of 3 flags.
解题过程
flag1
从题目中提取关键信息
黑色窗口 疑似cmd.exe 画一些东西(疑似画图工具) 存在重要文件(需要扫描文件)
查看内存镜像
volatility -f MemoryDump_Lab1.raw imageinfo- 1
查看进程 发现cmd.exe
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 pslist- 1
扫描命令及输出 发现base64编码
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdscan- 1
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 consoles- 1
解码base64 获得第一个flag
echo "ZmxhZ3t0aDFzXzFzX3RoM18xc3Rfc3Q0ZzMhIX0=" |base64 -d- 1
flag2
进程存在画图工具mspaint.exe
提取数据
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 memdump -p 2424 -D ./- 1
使用gimp打开(第三方工具,可以复原图像)
调整宽高
flag2
flag3
进程中存在WinRAR.exe 获取解压文件名
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dlllist |grep WinRAR- 1
获取解压文件虚拟地址
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 filescan |grep Important- 1
提取压缩包
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 -D ./- 1
得到压缩包密码提示
获取hash
volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 hashdump- 1
得到flag3
-
相关阅读:
有哪些编程后找错误的心得?
资源共享共赢系统应用
系统运维常踩的坑(一)
SLAM本质剖析-Boost之Geometry函数大全(二)
Java排序算法之希尔排序
高并发领域的奥秘:十年经验全公开,学习机会来了
hox 状态管理库源码解析
群晖NAS DSM7.2.1安装宝塔之后无法登陆账号密码问题解决
JavaScript - 将特定格式的字符串保存为 CSV 文件
不会Python迟早失业?Python何以成为找工作必备技能(资料下载)
- 原文地址:https://blog.csdn.net/qq_30817059/article/details/126125074