-
-
Volatility工具使用详解&&做题
-
发表于: 2023-9-25 09:33
-
工具以及附件下载,安装文章:
发现profile为WinXPSP2X86
发现存在TrueCrypt.exe进程,TrueCrypt.exe是一款加密程序,所以猜测Suspicion是加密后的结果
将解密后的内存文件进行挂载
得到flag
Let’s start easy - whats the PC’s name and IP address?(让我们从简单的开始–电脑的名称和IP地址是什么?)
有system,进行查看。
一步步跟进
跟着一直解析,最后看到主机名
Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server?(瑞克只是喜欢玩一些好的老式电子游戏,你能告诉他在玩哪个游戏吗? 服务器的IP地址是什么?)
We know that the account was logged in to a channel called Lunar-3. what is the account name?(我们知道该账户登录了一个名为Lunar-3的频道。什么是账户名称?)
From a little research we found that the username of the logged on character is always after this signature: 0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} What’s rick’s character’s name?(通过一点研究,我们发现,登录的字符的用户名总是在这个签名之后。0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} 瑞克的角色叫什么名字?)
Silly rick always forgets his email's password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick's email password? Silly rick总是忘记他的电子邮件密码,所以他使用在线存储密码服务来存储他的密码。他总是复制并粘贴密码,这样他就不会弄错了。rick的电子邮件密码是什么?
What is the computer's name?
先要确定该内存的profile是什么
Windows存储系统OS版本路径为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Web服务器上安装的易受攻击的Web应用
(攻击者使用命令注入将用户“hacker”添加到“远程桌面用户”组。是否提供已执行命令的IP地址?)
攻击者通过文件上传漏洞上传了一个简单的命令shell。是否提供用于执行命令的URL参数的名称?
The reason that we took rick’s PC memory dump is because there was a malware infection. Please find the malware process name (including the extension)(我们提取瑞克的电脑内存转储的原因是有一个恶意软件感染。请找到恶意软件的进程名称(包括扩展名)
Continue the search after the the way that malware got in.(在恶意软件进入后继续搜索。)
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。----
https://blog.csdn.net/qq_38603541/article/details/129244112链接:https://pan.baidu.com/s/1r0t5k4gFmiu12KHbZolKnA?pwd=6666
提取码:6666
---------------------
https://blog.csdn.net/weixin_44895005/article/details/123917324
----
https://blog.csdn.net/qq_38603541/article/details/129244112
----
https://blog.csdn.net/qq_38603541/article/details/129244112链接:https://pan.baidu.com/s/1r0t5k4gFmiu12KHbZolKnA?pwd=6666
提取码:6666
---------------------
https://blog.csdn.net/weixin_44895005/article/details/123917324
----
https://blog.csdn.net/qq_38603541/article/details/129244112
vol -f mem.vmem imageinfo
vol -f mem.vmem imageinfo
vol -f mem.vmem --profile=XXX pslist
vol -f mem.vmem --profile=XXX pslist
vol -f mem.vmem --profile=XXX memdump -p 2012 -D ./
-p是PID -D是转储路径
vol -f mem.vmem --profile=XXX memdump -p 2012 -D ./
-p是PID -D是转储路径
vol -f mem.vmem --profile=XXX hashdump
vol -f mem.vmem --profile=XXX hashdump
vol -f mem.vmem --profile=XXX cmdscan
vol -f mem.vmem --profile=XXX cmdscan
vol -f mem.vem --profile=XXX filescan | grep flag
vol -f mem.vem --profile=XXX filescan | grep flag
vol -f mem.vem --profile=XXX dumplfiles -Q 0X00000123456 -D ./
vol -f mem.vem --profile=XXX dumplfiles -Q 0X00000123456 -D ./
vol -f mem,img --profile=XXX windows | grep flag -A 10 (-A 10显示十行内容)
vol -f mem,img --profile=XXX windows | grep flag -A 10 (-A 10显示十行内容)
vol -f mem.vmem --profile=XXX lsadump
vol -f mem.vmem --profile=XXX lsadump
vol -f mem.vmem --profile=XXX hivelist
vol -f mem.vmem --profile=XXX hivelist
vol -f mem.vmem --profile=xxx -o 0xfaffafafafa printkey
vol -f mem.vmem --profile=xxx -o 0xfaffafafafa printkey -K "ControlSet001\xxx\xxx\SystemName"
vol -f mem.vmem --profile=xxx -o 0xfaffafafafa printkey
vol -f mem.vmem --profile=xxx -o 0xfaffafafafa printkey -K "ControlSet001\xxx\xxx\SystemName"
vol -f mem.vmem --profile=xxx pstree
vol -f mem.vmem --profile=xxx pstree
vol -f mem.vmem --profile=xxx dlllist -p 1234
vol -f mem.vmem --profile=xxx dlllist -p 1234
vol -f test.vmem --profile=xxx notepad
vol -f test.vmem --profile=xxx notepad
vol -f test.vmem --profile=xxx editbox
vol -f test.vmem --profile=xxx editbox
vol -f test.vmem --profile=xxx screenshot
vol -f test.vmem --profile=xxx screenshot
vol -f test.image --profile=xxx clipboard
vol -f test.image --profile=xxx clipboard
vol -f test.image --profile=xxx iehistory
vol -f test.image --profile=xxx iehistory
python2 vol.py -f dump.mem --profile=LinuxCentos7_3_10_1062x64 linux_bash
python2 vol.py -f dump.mem --profile=LinuxCentos7_3_10_1062x64 linux_bash
python2 vol.py -f dump.mem --profile=LinuxCentos7_3_10_1062x64 linux_psaux
python2 vol.py -f dump.mem --profile=LinuxCentos7_3_10_1062x64 linux_psaux
python2 vol.py -f dump.mem --profile=LinuxCentos7_3_10_1062x64 linux_dmesg
python2 vol.py -f dump.mem --profile=LinuxCentos7_3_10_1062x64 linux_dmesg
python2 vol.py -f dump.mem --profile=LinuxCentos7_3_10_1062x64 linux_check_syscall | grep HOOKED
python2 vol.py -f dump.mem --profile=LinuxCentos7_3_10_1062x64 linux_check_syscall | grep HOOKED
python2 vol.py -f MemoryDump.mem --profile=Win10x64_19041 malfind
python2 vol.py -f MemoryDump.mem --profile=Win10x64_19041 malfind
vol -f mem.vmem imageinfo
vol -f mem.vmem imageinfo
vol -f mem.vmem --profile=WinXPSP2x86 pslist
vol -f mem.vmem --profile=WinXPSP2x86 pslist
vol -f mem.vmem --profile=WinXPSP2x86 memdump -p 2012 -D ./ (-p是PID -D是传储路径)
vol -f mem.vmem --profile=WinXPSP2x86 memdump -p 2012 -D ./ (-p是PID -D是传储路径)
vol -f mem.raw imageinfo
vol -f mem.raw imageinfo
vol -f mem.raw --profile=Win7SP1x64 cmdscan
vol -f mem.raw --profile=Win7SP1x64 cmdscan
vol -f mem.raw --profile=Win7SP1x64 filescan | flag
vol -f mem.raw --profile=Win7SP1x64 filescan | flag
vol -f mem.raw --profile=Win7SP1x64 dumpfiles -Q #保存到本地进行解压
vol -f mem.raw --profile=Win7SP1x64 dumpfiles -Q #保存到本地进行解压
flag{ez_di_imp_1t_y0u_like?}flag{ez_di_imp_1t_y0u_like?}vol -f mem.img imageinfo
vol -f mem.img imageinfo
vol -f mem.img profile=Win2003SP2x86 filescan | grep flag
vol -f mem.img profile=Win2003SP2x86 filescan | grep flag
vol -f mem.img profile=Win2003SP2x86 dumpfiles -Q 0x000000000484f900 -D ./
vol -f mem.img profile=Win2003SP2x86 dumpfiles -Q 0x000000000484f900 -D ./
jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=
jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=
vol -f mem.img profile=Win2003SP2x86 windows | grep flag -A 10
vol -f mem.img profile=Win2003SP2x86 windows | grep flag -A 10
vol -f mem.img profile=Win2003SP2x86 memdump -p 1992 -D ./
vol -f mem.img profile=Win2003SP2x86 memdump -p 1992 -D ./
foremost 1992.dmp
foremost 1992.dmp
密文:jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=
key: Th1s_1s_K3y00000iv: 1234567890123456
密文:jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=
key: Th1s_1s_K3y00000iv: 1234567890123456
vol -f otto.vmem --profile=XXX netscan
vol -f otto.vmem --profile=XXX netscan
vol -f otto.vmem --profile=XXX hivelist
vol -f otto.vmem --profile=XXX hivelist
vol -f otto.vmem --profile=XXX -o 0xfffff8a000024010 printkey
vol -f otto.vmem --profile=XXX -o 0xfffff8a000024010 printkey
vol -f otto.vmem --profile=XXX -o 0xfffff8a000024010 printkey -K "ControlSet001"
vol -f otto.vmem --profile=XXX -o 0xfffff8a000024010 printkey -K "ControlSet001"
strings OtterCTF.vmem | grep Lunar-3 -B 3 -A 3 (-B 3显示指定字符串上三行,-A 3显示指定字符串下三行)
strings OtterCTF.vmem | grep Lunar-3 -B 3 -A 3 (-B 3显示指定字符串上三行,-A 3显示指定字符串下三行)
vol -f otto.vmem --profile=XXX memdump -p 708 -D ./
vol -f otto.vmem --profile=XXX memdump -p 708 -D ./
用hexdump 显示字符hexdump -C otto.vmem | grep "5a 0c 00" -A 3 -B 3
用hexdump 显示字符hexdump -C otto.vmem | grep "5a 0c 00" -A 3 -B 3
vol.py -f otto.vmem --profile=Win7SP1x64 clipboard
vol.py -f otto.vmem --profile=Win7SP1x64 clipboard
vol.py -f memdump.mem imageinfo
------
确定为 VistaSP1x86vol.py -f memdump.mem imageinfo
------
确定为 VistaSP1x86确定了profile是什么之后,题目要求找出计算机名称,我们可以通过查询注册表信息来获得计算机名称信息确定了profile是什么之后,题目要求找出计算机名称,我们可以通过查询注册表信息来获得计算机名称信息vol.py -f memdump.mem --profile=VistaSP1x86 hivelist-----查询到了SYSTEM信息,访问系统目录查找是否存在计算机名称vol.py -f memdump.mem --profile=VistaSP1x86 hivelist-----查询到了SYSTEM信息,访问系统目录查找是否存在计算机名称解析路径,看到主机名(system)vol.py -f memdump.mem --profile=VistaSP1x86 -o 0x86226008 printkey解析路径,看到主机名(system)vol.py -f memdump.mem --profile=VistaSP1x86 -o 0x86226008 printkeyvol.py -f memdump.mem --profile=VistaSP1x86 -o 0x86226008 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
vol.py -f memdump.mem --profile=VistaSP1x86 -o 0x86226008 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
查看第一张截图,可得知答案为UTC-7
查看第一张截图,可得知答案为UTC-7
首先通过pslist查看是否有可疑进程(并未发现明显可疑进程)但发现该windows存在httpd服务,查看浏览器历史命令是否存在可用信息发现存在XSS注入命令.判断出了进行了XSS攻击首先通过pslist查看是否有可疑进程(并未发现明显可疑进程)但发现该windows存在httpd服务,查看浏览器历史命令是否存在可用信息发现存在XSS注入命令.判断出了进行了XSS攻击查看OS版本号 -> 可以先查看注册表信息
vol.py -f memdump.mem --profile=VistaSP1x86 hivelist
查看OS版本号 -> 可以先查看注册表信息
vol.py -f memdump.mem --profile=VistaSP1x86 hivelist
可以发现列表中第二行中存在SOFTWARE这行可以发现列表中第二行中存在SOFTWARE这行利用命令进行访问系统目录vol.py -f memdump.mem --profile=VistaSP1x86 printkey -o 0x87b55a20----------vol.py -f memdump.mem --profile=VistaSP1x86 printkey -o 0x87b55a20 -K "Microsoft\Windows NT\CurrentVersion"
在最下面即可得到OS版本为6001利用命令进行访问系统目录vol.py -f memdump.mem --profile=VistaSP1x86 printkey -o 0x87b55a20[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
