专栏名称: CTFer的魔法棒
CTFer的魔法棒,你的CTF参赛指南。 查看比赛日程、学习竞赛相关知识应有尽有
目录
相关文章推荐
魅力儀徵  ·  这个热搜,让很多人慌了:“我就是这样的啊!” ·  6 小时前  
长江网  ·  中国科学家首创!打一针让锂电池“满血复活” ·  16 小时前  
长江网  ·  中国科学家首创!打一针让锂电池“满血复活” ·  16 小时前  
短线无名解盘  ·  AI、半导体、锂电池齐发力,市场风云突变,元 ... ·  昨天  
短线无名解盘  ·  AI、半导体、锂电池齐发力,市场风云突变,元 ... ·  昨天  
杭州发改发布  ·  “政企银”云端聚智谋新径 “市区联”线上同俦启新程 ·  2 天前  
杭州发改发布  ·  “政企银”云端聚智谋新径 “市区联”线上同俦启新程 ·  2 天前  
Excel之家ExcelHome  ·  接入DeepSeek以后,我的Excel真的 ... ·  3 天前  
51好读  ›  专栏  ›  CTFer的魔法棒

CTF内存取证入坑指南!稳!

CTFer的魔法棒  · 公众号  ·  · 2017-10-31 18:22

正文

最近,斗哥在刷CTF题目。突然刷到了内存取证类,了解到了一款牛逼的工具——Volatility,在kali linux也默认安装好了这个工具,正好可以好好学习一波。


01

Volatility 简介

Volatility是一款开源的,基于Python开发的内存取证工具集,可以分析内存中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、Android操作系统的RAM数据进行提取与分析。


02

题目来源

还记得取证那题吗?既然有了取证神器,这里有一个可疑文件以及存储该文件电脑的一个内存快照,那么接下来我们实战一下吧。

由于文件比较大,请大家至百度云盘下载:

链接: http://pan.baidu.com/s/1c2BIGLE

密码: 9v2z

打开是2个文件:


03

volatility 使用

volatility -f <文件名> --profile=<配置文件> <插件> [插件参数]

获取 --profile 的参数 。

使用imageinfo插件来猜测dump文件的profile值:WinXPSP2x86

root@kali:~/quzhen# volatility -f mem.vmem imageinfo


root@kali:~/quzhen# volatility -f mem.vmem --profile=WinXPSP2x86


shell的命令:

dt("内核关键数据结构名称")

如:

dt("_PEB")


列举进程:

root@kali:~/quzhen# volatility -f mem.vmem --profile=WinXPSP2x86 pslist


列举缓存在内存的注册表 :

olatility -f mem.vmem --profile=WinXPSP2x86 hivelist


hivedump 打印出注册表中的数据 :

volatility -f mem.vmem --profile=WinXPSP2x86 hivedump -o 注册表的 virtual 地址


获取SAM表中的用户

volatility -f mem.vmem --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"

可以看到有4个用户


获取最后登录系统的账户 :

volatility -f mem.vmem --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

提取出内存中记录的 当时正在运行的程序有哪些,运行过多少次,最后一次运行的时间等信息 。

volatility -f mem.vmem --profile=WinXPSP2x86 userassist


将内存中的某个进程数据以 dmp 的格式保存出来 。

volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]


二进制编辑器 hexeditor 将以上保存的 dmp 文件打开,并进行调查取证的工作

hexeditor 1736.dmp


你还可以使用 strings 这个工具将它的字符串打印出来。

例:

strings 1736.dmp > 1736.txt

strings 1608.dmp > 1736.txt | grep shellcode

提取内存中保留的 cmd 命令使用情况

volatility -f mem.vmem --profile=WinXPSP2x86 cmdscan


获取到当时的网络连接情况

volatility -f mem.vmem --profile=WinXPSP2x86 netscan


获取 IE 浏览器的使用情况 :

volatility -f mem.vmem --profile=WinXPSP2x86 iehistory

获取内存中的系统密码,我们可以使用 hashdump 将它提取出来

volatility -f mem.vmem --profile=WinXPSP2x86 hashdump -y (注册表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)


volatility -f mem.vmem --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60

最大程度上将内存中的信息提取出来,那么你可以使用 timeliner 这个插件。它会从多个位置来收集系统的活动信息 。
volatility -f mem.vmem --profile=WinXPSP2x86 timeliner


04

解题步骤

首先解压获得的两个文件,一个是内存文件,另一个是加密文件。

打开kali,使用volatility 查看进程,可以发现一个TrueCrypy.exe的进程。







请到「今天看啥」查看全文


推荐文章
魅力儀徵  ·  这个热搜,让很多人慌了:“我就是这样的啊!”
6 小时前
长江网  ·  中国科学家首创!打一针让锂电池“满血复活”
16 小时前
长江网  ·  中国科学家首创!打一针让锂电池“满血复活”
16 小时前
短线无名解盘  ·  AI、半导体、锂电池齐发力,市场风云突变,元隆雅图,彩讯股份,光线传媒,中科曙光
昨天
短线无名解盘  ·  AI、半导体、锂电池齐发力,市场风云突变,元隆雅图,彩讯股份,光线传媒,中科曙光
昨天
杭州发改发布  ·  “政企银”云端聚智谋新径 “市区联”线上同俦启新程
2 天前
杭州发改发布  ·  “政企银”云端聚智谋新径 “市区联”线上同俦启新程
2 天前
Excel之家ExcelHome  ·  接入DeepSeek以后,我的Excel真的能自己做表了,全流程+代码大公开
3 天前
狗与爱的世界  ·  其实不是狗狗需要我们,而是我们需要它们
8 年前
互联网聚焦  ·  一场中国经济大变革来了!2017年这些事情可能将发生!
8 年前
人人都是产品经理  ·  秒聘直推 | 腾讯等公司招人了,我们帮你来内推!
7 年前
大爱猫咪控  ·  铲屎的抹着眼泪捏着鼻子,都是因为它...
7 年前
大呲花  ·  东北最牛的女司机,开大车的都认识她!
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!