volatility内存取证

最近参加了45届世界技能大赛的山东选拔赛,样题里有一个题如下:

师傅好不容易拿到了压缩包的密码,刚准备输入,电脑蓝屏 了。。。

= =",题意简单明了,易于理解。一看就是内存取证的题并且已经有了内存转储文件了。

废话不多说,拿到hint就开始动手吧,先把文件下载下来,发现是一个7z的压缩包,放进kali解压

解压以后得到一个flag,看样子这个就是内存转储文件了,直接用volatility分析一下

volatility -f flag imageinfo

系统信息为WinXPSP2x86

获得系统信息就开始查师傅的压缩包密码,题意说刚准备输入,说明这个passwd当前已经打开过了,或者已经在剪切板里存放

先看一下剪切板中有没有数据

volatility -f flag --profile=WinXPSP2x86 clipboard

结果得到了一串数据,分析以后发现有一条数据疑似passwd,copy下来

现在有了密码,但是没有压缩文件,再查一下内存中缓存的文件

volatility -f flag --profile=WinXPSP2x86 filescan

直接被数据刷屏了= =

过滤一下

volatility -f flag --profile=WinXPSP2x86 filescan | grep rar

得到了flag.rar

进行解压缩,输入密码,得到flag

sg

原文地址:https://www.cnblogs.com/rainbowcloud/p/10198331.html

时间: 2024-10-11 11:12:00

volatility内存取证的相关文章

v&n赛 内存取证题解(没做出来)

题目是一个raw的镜像文件 用volatility搜索一下进程 有正常的notepad,msprint,还有dumpit和truecrypt volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory 查看ie历史的时候有一个百度网盘的连接但是没有密码 提示放出了 记事本 但是查notepad实在是没有什么收获 上取证大师 这就很好用,恢复一下格式化了的数据,直接搜索txt后缀找到了提取码 本来以为这题目就差不多了 然后又下载下来一个加密

CTF内存取证

获取dump的系统版本 [email protected]:/test# volatility -f mem.dump imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64,

内存取证三项CTF学习

题目附件: 链接:https://pan.baidu.com/s/1fH4Zdd-snG047boRwWAGYQ 提取码:8t96 题目描述 一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑也不管自己在电脑上留下的操作急忙离开电脑,故作淡定的说:"我就是随便看看".

使用 Linux 工具进行计算机取证

使用 Linux 工具进行计算机取证 本文通过介绍 Linux 系统工具(Ftkimage.xmount.Volatility.dd.netcat)来介绍使用计算机取证的方法和步骤. 硬盘数据的取证是指为了证据保全,确保取证工作造成数据丢失,在获取到证据介质后,首先要做的就是对介质数据进行全盘镜像备份.内存取证主要通过对内存数据及其缓存硬盘数据进行分析,提取那些对案件侦破可能有重要意义的易失性数据,这些易失性数据的特点是存在于正在运行的计算机或网络设备的内存中,关机或重启后这些数据将不再存在.

【取证分析】Linux信息搜集

## 1.取证工具 - LiME 内存获取工具 - volatility 内存分析工具 ## 2.机器信息收集 #sysinfo 16 # # 查看当前登录用户 who > who.txt # # 显示目前登入系统的用户信息 w > w.txt # # 显示时间 date > date.txt # # 查看CPU信息 cat /proc/cpuinfo > cpuinfo.txt # # 查询系统版本 lsb_release -a > lsb_release.txt # #

内存栅栏和volatile关键字

内存栅栏和volatile关键字 前言 本次主要讲解关于内存栅栏的一点小东西,主要是扫盲,给大家普及普及概念性的东西.以前我们说过在一些简单的案例中,比如一个字段赋值或递增该字段,我们需要对线程进行同步. 虽然lock可以满足我们的需要,但是一个竞争锁一定会导致阻塞,然后忍受线程上下文切换和调度的开销.有些高并发和性能比较关键的地方,这些是不能忍受的. .net提供了非阻塞同步构造,为一些简单的操作提高了性能,它甚至都没有阻塞,暂停,和等待线程. 引入 Memory Barries and Vo

铁三Linux取证

01 现场取证与计算机取证 一个静态一个动态 线下取证设备 现场取证--硬盘复制机(对硬盘做镜像,进行复制然后取证,取证过程不允许对原硬盘操作的) ENcase FTK 取证大师 盘石介质取证分析 内存取证技术 虚拟内存文件/休眠文件/内存转储/DMA/冷启动 芯片取证 操作系统取证 Windows系统 未分配空间实际上有数据的 文件残留区 Filestack(磁盘碎片) 逻辑大小 + 文件残留区 = 物理大小 文件残留区没被删除 也有可能恢复之前的文件 隐藏文件的方式 改文件扩展名 文件内容加

【干货】Linux内存数据的获取与转存 直捣密码

知识源:Unit 2: Linux/Unix Acquisition 2.1 Linux/Unix Acquistion Memory Acquisition 中的实验demo部分  小白注意,这是网络安全RITx: CYBER502x 部分的内容. 19年1月初,该系列课程会推出501x,这是面向入门的基础性课程. 不要错误讲座的直观体验而阅读我的笔记.这是错误的学习行为,一切已原创为重点. 这里使用Linux Unix内存转储工具,称为Lime. 进入lime目录    这么做的目的是把捕获

20159302《网络攻击与防范》第九周学习总结

一.视频学习内容 1.压力测试 压力测试是通过确定一个系统的瓶颈或者不能接收的性能点,来获得系统能提供的最大的服务级别的测试.通俗的讲,压力测试是为了发生在什么条件下您的应用程序的性能会变得不可接受. kali下压力测试工具包含VoIP压力测试.WEB压力测试.网络压力测试以及无线压力测试四个分类. 1.1 VoIP压力测试工具:主要包括iaxflood和inviteflood. 1.2 WEB压力测试:THC-SSL-DOS,借助THC-SSL-DOS攻击工具,任何人都可以把提供SSL安全连接