当前位置: 首页 > article >正文

内存取证隐写

article 2025/3/16 6:06:16

一、工具安装

Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。Volatility2.6需要python2,pip安装模块也需要2版本
安装pip2
Volatility2.6需要python2,pip安装模块也需要2版本,所以首先安装pip2
(1)检查python2(已安装)
 

image

(2)下载pip2

curl https://bootstrap.pypa.io/pip/2.7/get-pip.py -o get-pip.py

image

(3)安装pip2

sudo python2 get-pip.py

image

(4)检查安装情况

pip2 -h

image

安装依赖环境
(1)安装pycryptodome(我这里已经安装)

pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple

image

(2)安装distorm3

git clone https://github.com/vext01/distorm3.git cd distorm3 sudo python2 setup.py install

image

image

安装volatility
(1)退出distorm3文件夹,下载volatility2

git clone https://github.com/volatilityfoundation/volatility.git

image

(2)进volatility,判断是否安装成功
如果缺少插件的话,会出现好多行报错的

image

二、例题解析

CTF金砖技能大赛的一道题目

1、分析镜像

python2 vol.py -f /home/kali/桌面/worldskills3.vmem imageinfo

image

2、从内存中获取到用户admin的密码并且破解密码,以flag{admin,password}形式提交(密码为6位)
(1)查看系统用户

python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"

image


(2)转储内存中的Windows帐户密码哈希

python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 hashdump

image


发现没有解密成功;使用mimikatz插件获得密码(自行下载插件)
则Flag{admin:.dfsddew}
3、获取当前系统IP地址以及主机名,以Flag{ip:主机名}形式提交
(1)获取主机名

python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 hivelist

image

(2)查看注册表信息

python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printke y

image

image

答案为:WIN-9FBAEH4UV8C
(3)获取IP地址

python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 netscan

image


IP地址为:192.168.85.129
Flag{WIN-9FBAEH4UV8C.192.168.85.129}
(4)获取当前系统浏览器搜索过的关键词,作为Flag提交

python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 iehi story

image

Flag{admin@file:///C:/Users/admin/Desktop/flag.txt}
(5)当前系统中存在挖矿进程,请获取指定的矿池地址,以Flag{}提交

python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 pslist

image

flag{54.36.109.161:2222}
(6)eyi进程在系统中注册了服务,请将服务名称以Flag{服务名}提交
上题已知eyi进程号为2588,找到process ID为3036

python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 pslist -p 2588

image

根据process ID为3036,查找服务

python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 svcscan|grep 3036

image

flag{VMnetDHCP}


http://www.kler.cn/a/297216.html

相关文章:

  • 运维学习————Jenkins(1)
  • 【Go - 函数 参数缺省/默认值】
  • Flink 配置文件的深度解读
  • C#从入门到精通(22)—Path类的使用
  • Socket编程 (连接,发送消息) (Tcp、Udp) - Part1
  • 电商平台如何合法地实现多商户分账功能
  • 微课录制技巧|高效录制微课的方法,如何高效录制微课?
  • 前端基础面试题·第三篇——JavaScript(其三)
  • sysbench下载与交叉编译
  • transforemr网络理解
  • 讲座笔记1
  • python_openCV_计算图片中的区域的黑色比例
  • 数据库课程 CMU15-445 2023 Fall Project-0 项目记录
  • Linux网络:应用层协议http/https
  • Flutter动画—涟漪效果
  • HTTP 协议的工作过程
  • 【Go - 拼接字符串】
  • CSOL如何高效防护UDP攻击
  • 手机录音怎么转换成mp3?3种方法,由我来告诉你
  • Spring基础面试题整理 理解加背诵