简单的内存取证

news/2024/11/15 15:39:20/文章来源:https://www.cnblogs.com/lpppp/p/18379812

工具: volatility2.6 + gimp

使用插件 mimikatz 看看账户和密码

python2 vol.py --plugins=/plugins/ -f 'baby_misc.raw' --profile=Win7SP1x64 mimikatz

image-20240824220751-fex2nad

然后再使用 filescan 插件扫描一下可疑的文件

python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 filescan | grep -E 'png|jpg|gif|zip|rar|7z|pdf|txt|doc|xls'

image-20240824221056-q0ym22u

可以看到有一个 flag.ziphint.txt,分别提取出来使用 dmpfiles 插件

python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 	dumpfiles -Q 0x000000003e7d2650 -D /

-Q 指定偏移量

-D 输出的目录 -D /flag

image-20240824221413-gu88l3b

然后查看 hint.txt 文件,

image-20240824221959-96ix3zn

然后我们使用 pslist 插件查看进程,发现可疑进程 calc.exe,使用 memdump插件进⾏转存

python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 memdump -n calc.exe -D /

将得到的 1516.dmp 文件使用 foremost 分离里面的文件,可以看到一个 zip 里面有 flag.zip

flag

因为没有环境了所以不知道对错,但是感觉是错的,我们之前得到的桌面上的 flag.zip 需要密码,所以我们应该找到密码。

后面发现一件文章 【CTF】利用volatility与Gimp实现Windows内存取证 - 个人文章 - SegmentFault 思否

可以利用 Gimp 打开,查看镜像中的系统界面

使用 Gimp

将我们 memdump 的文件,把后缀改成 .data 最后,拖入工具即可。

image-20240825234734-2pqs9ew

一开始是这样子的,我们将它放大就行,然后设置图像类型为 RGB透明,这样对比比较明显,可以比较容易发现有效信息,搜索了一下 win7 的分辨率,设置一下

image-20240825234533-sljmjvr

image-20240825234943-2l03b0q

然后就一直拖动位移就行,

image-20240825235118-i6fpqwr

这个位置可以看出来应该是有图像的,因为宽度不合适所以才这样,调整宽度直至图像清晰就行,现在就很明显了,继续调就行

image-20240825235250-8vnbaox

拖动位移使图像居中,然后继续调整宽度,可以得到清晰的图像。

image-20240826000213-ychtcbx

计算机上的数字应该是我们要利用的 132424464,直接去解压缩吧,不行,我们直接使用 windows 插件打印桌面窗口(详细信息)

python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 windows  | grep "132424464"

image-20240826002715-p1b08sj

最后在,16 进制转一下得到密码, ^&G12BDd

flag:flag{fba99a87-2278-f175-5055-a47f5773c131}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/787340.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【复习失败-bp出问题了】【漏洞复现】DouPHP(CVE-2024-7917、代码分析xss)漏洞复现

https://mp.weixin.qq.com/s/YccEe85xFiZIZGOPQLABkA DouPHP(CVE-2024-7917、代码分析xss)漏洞复现 原创 LULU 红队蓝军 2024年08月23日 18:01 四川 漏洞介绍 漏洞:CVE-2024-7917 介绍:DouPHP 1.7_Release_20220822版本中存在一个远程代码执行(RCE)漏洞。拥有管理员权限的…

【简易学生管理系统】java版(内附完整源码)

源代码附在文章末尾注意:代码中定义了Student和User两个类,最初的登录操作对应User,之后才是对Student信息的增删改查。代码中对大部分用户键入都进行了校验,校验规则如下 用户名: 长度在3~15位 只能是数字和字母的组合不能都是数字 用户名已存在,无法注册手机号: 长度1…

[Datawhale AI 夏令营] Task1: 跑通YOLO方案baseline

环境配置厚德云 RTX 4090 image-gpu-pytorch_20240807运行 apt install git-lfs git lfs install git clone https://www.modelscope.cn/datasets/Datawhale/AI_Camp5_baseline_CV.git提交结果

如何快速对影像进行分幅?

GIS数据转换器的"分割转换"功能,可以根据用户设定的像素大小将一幅大影像分割成若干小尺寸的影像。下面是详细的使用步骤:方法/步骤1. 数据准备支持tif、img、bmp文件格式。 2. 软件下载与安装从GeoSaaS.COM官网下载并安装 GIS数据转换器,安装完成后桌面上出现”G…

dpdk解析报文协议-基于l2fwd

dpdk解析报文协议-基于l2fwd 0 前置条件 1、这里需要两台虚拟机,配置了相同的虚拟网络,可以通过tcpreplay在一台虚拟机回放报文,在另一台虚拟机通过tcpdump -i 网卡名 捕获到。具体配置可参考https://www.jb51.net/server/2946942fw.htm2、需要dpdk环境配置完成 3、大致了解…

引用类型和值类型(一)

引用类型和值类型(一) 关于引用类型和值类型的区别经常听到这样一个说法:“值类型分配在栈上,引用类型分配在堆上”。这个回答并不完全正确,或者说这不是值类型和应用类型真正的差别。官方文档给出的定义:引用类型的变量存储对其数据(对象)的引用,而值类型的变量直接包…

修改SpringBoot的配置文件application.yaml后启动失败

经常碰到修改application.yaml文件之后,SpringBoot项目启动失败的,报错信息如下 Connected to the target VM, address: 127.0.0.1:7105, transport: socket 21:12:59.122 [main] DEBUG org.springframework.boot.context.logging.ClasspathLoggingApplicationListener - App…

mac 隐藏文件显示 快捷键

用户》macmac 是电脑自己的名字

【信息收集】 SSH指纹

原创 儒道易行一、 SSH指纹 首次通过SSH连接一台服务器时,SSH服务返回其指纹信息,如果确认指纹信息无误,该指纹将保存到~/.ssh/know_hosts中, 服务器IP与指纹一一对应;第二次访问SSH服务时,SSH客户端将对比返回的指纹与~/.ssh/know_hosts是否一致,一致就顺利连接,否则警…

yml文件中使用profile配置切换多环境

pom.xml<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.…

京东面试:600Wqps高并发ID如何设计?时钟回拨 如何解决?

文章很长,且持续更新,建议收藏起来,慢慢读!疯狂创客圈总目录 博客园版 为您奉上珍贵的学习资源 : 免费赠送 :《尼恩Java面试宝典》 持续更新+ 史上最全 + 面试必备 2000页+ 面试必备 + 大厂必备 +涨薪必备 免费赠送 :《尼恩技术圣经+高并发系列PDF》 ,帮你 实现技术自由,…

[笔记](更新中)CSP-S 2024 查漏补缺

复习内容部分来自NOI大纲中入门级和提高级的内容。 联合体(Union) 联合体是一种复合数据类型,其的定义上与结构体的定义类似。 与结构体不同,联合体中的所有元素共用一块内存,所以它占空间大小一般是最大成员的大小(不考虑对齐的情况下),相应地,任意时刻只有一个成员带…