-
内存取证系列5
文档说明
作者:SwBack
时间:2022-5-8 14:17
本次做题收获:收获总是会有的,比如MD 用的越来越熟练。
挑战说明
- We received this memory dump from our client recently. Someone accessed his system when he was not there and he found some rather strange files being accessed. Find those files and they might be useful. I quote his exact statement
- 我们最近从客户那里收到了这个内存转储。有人在他不在时访问了他的系统,他发现正在访问一些相当奇怪的文件。找到这些文件,它们可能很有用。我引用他的确切陈述,
名字不可读。它们由字母和数字组成,但我无法弄清楚它到底是什么。
此外,他注意到他最喜欢的应用程序每次运行时都会崩溃。是病毒吗?
Note-1: 此挑战由 3 个flag组成。如果您认为第二个flag是结束,它不是!
Note-2: 挑战时有一个小错误。如果您发现任何包含字符串
L4B_3_D0n3 !!的字符串,请将其更改为L4B_5_D0n3 !!然后继续。Note-3: 只有当您拥有flag1 时,您才会获得flag2 。
挑战文件:MemLabs_Lab5
如果下载地址访问失败,可以通过CSDN下载,点击下载解题过程
提取关键词: 3个flag 、文件名字 字母+数字、最喜欢的、崩溃、病毒
查看系统镜像
volatility -f MemoryDump_Lab5.raw imageinfo- 1
查看系统进程
发现ie浏览器,WinRAR,NOTEPAD.EXE(恶意)
volatility -f MemoryDump_Lab5.raw --profile=Win7SP1x64 pslist- 1
查看浏览器历史记录
发现特殊文件,符合命名规则
发现ie浏览器volatility -f MemoryDump_Lab5.raw --profile=Win7SP1x64 iehistory- 1
Base64 解码 得到flag1
echo "ZmxhZ3shIV93M0xMX2QwbjNfU3Q0ZzMtMV8wZl9MNEJfNV9EMG4zXyEhfQ" |base64 -d- 1
查询文件
volatility -f MemoryDump_Lab5.raw --profile=Win7SP1x64 filescan |grep "txt\|gif\|png\|jpg\|jpeg\|zip\|rar\|7z\|Desktop\|Download\|Documents\|Favorites\|Music\|Videos\|Links"- 1
疑似存在问题文件(根据文件所在目录,文件名,后缀等进行判断)
虚拟地址 文件名 0x000000003eed56f0 Documents\SW1wb3J0YW50.rar 验证该文件
提取文件 得到flag2
volatility -f MemoryDump_Lab5.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003eed56f0 -D ./- 1
是个加密压缩包
根据提示没有flag1 得不到flag2 猜测flag1是该压缩包密码
提取文件
提取之前发现的NOTEPAD.EXE,只有PID为2724的程序提取了出来
volatility -f MemoryDump_Lab5.raw --profile=Win7SP1x64 procdump -p 2724 -D ./- 1
IDA分析得到flag3
bi0s{M3m_l4B5_OVeR_!}
-
相关阅读:
ES6+知识点总结
简单的权限验证
macOS Ventura 正式版你确定不更新,好用到爆的功能你不想尝试一下?
ORACLE 11.2.0.4 RAC Cluster not starting cssd with Cannot get GPnP profile
谷粒商城 (七) --------- SpringCloud Alibaba 基础配置
C++:C++模板(函数模板与类模板的使用)
KS001 基于Springboot机票预订系统
华为eNSP配置专题-VRRP的配置
三门问题 代码验证概率
cesium 三维坐标系绘制
- 原文地址:https://blog.csdn.net/qq_30817059/article/details/127996298
