首页 > 系统相关 >neicun(内存取证文件)

neicun(内存取证文件)

时间:2024-01-17 20:35:04浏览次数:35  
标签:neicun 取证 -- vmem 内存 lin64 volatility

任务2:内存取证
序号 任务描述 答案
1 从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password}形式提交(密码为6位);
2 获取当前系统ip地址及主机名,以Flag{ip:主机名}形式提交;
3 当前系统中存在的挖矿进程,请获取指向的矿池地址,以Flag{ip}形式提交;
4 恶意进程在系统中注册了服务,请将服务名以Flag{服务名}形式提交。
5 从内存文件中获取黑客进入系统后下载的flag文件,将文件中的值作为Flag值提交;
分析镜像系统
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem imageinfo

image-20240111154246844

一般用第一个作为系统版本

image-20240111154459095

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 hashdump
查看用户和密码(不是明文)一般破解不出来

image-20240111154700667

尝试下破解密码
ctrl+shirt+t快捷打开新窗口
vi 1.txt
将密码写入wq保存
cat 1.txt

image-20240111155243836

破解密码
john 1.txt
自动分析密码类型,使用默认字典,

image-20240111155403640

kali字典位置
cd /usr/share/wordlists

image-20240111160452353

使用默认字典破解
john --wordlist=/usr/share/wordlists/rockyou.txt --format=LM 1.txt
windows使用--format=NTLM
显示没成功

image-20240111160329718

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 lsadump
使用lsadump
所以密码就是H8d*or

image-20240111160926184

看到开放端口
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 netscan

image-20240111161853940

所以本机IP就是192.168.232.129

image-20240111161958712

查看注册表内容
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 hivelist

image-20240111162246882

如何查看注册表中有哪些表项
-o 指定虚拟地址Virtual printkey
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

image-20240111162625782

-K "指定表"  K是大写
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"
有用的是Control

image-20240111162834120

加反斜杠\ 进入下一层
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"
有用的是ComputerName

image-20240111163024731

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"

image-20240111163223679

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
用户名就是CXKKA2ZCLKN
这个路径是固定的,记一下

image-20240111163335831

查看连接次数较多,程序名比较诡异的,可能就是向外连接的挖矿地址
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 netscan

image-20240111163935968

挖矿地址就是51.254.84.37

image-20240111164232770

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 pslist
pslist可以查看内存中所有的进程
等同于windows下tasklist

image-20240111164816514

image-20240111164828957

windows下关闭进程
taskkill /pid 3988

image-20240111165036567

-p 指定pid
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 pslist -p 1716

image-20240111165407201

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 pstree
pstree 可以树状显示进程

image-20240111165801944

explorer 就是windows文件资源管理器
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 svcscan
svcscan可以查看所有服务

image-20240111170208125

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 filescan
filescan查看内存中所有文件
./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 filescan | grep -i "txt\|png\|jpg\|flag\|desktop\|gif"
-i 不区分大小写,

image-20240111171535213

./volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f810a70 -D ./
-Q 进程号 -D 指定导出位置 ./当前目录
再将flag.txt导出

image-20240111171857104

image-20240111171906958

将两个文件复制到物理机,使用010打开,分析很明显是两张图片能组成一张
用末尾图片复制到开头图片00位置保存

image-20240111172831690

标签:neicun,取证,--,vmem,内存,lin64,volatility
From: https://www.cnblogs.com/yang-ace/p/17971061

相关文章

  • 镜像取证
    镜像文件取证任务3:镜像文件取证证据编号在取证镜像中的文件名镜像中原文件Hash码(MD5,不区分大小写)evidence1eg2kx.jpg85cdf73518b32a37f74c4bfa42d856a6evidence2ZQOo2.zip9e69763ec7dac69e2c5b07a5955a5868evidence3p3qQ4.jpga9a18aecec905a774204......
  • 记一次go应用在k8s pod已用内存告警不准确分析
    版权说明: 本文章版权归本人及博客园共同所有,转载请在文章前标明原文出处(https://www.cnblogs.com/mikevictor07/p/17968696.html),以下内容为个人理解,仅供参考。 一、背景起因:自监控应用凌晨告警:Pod内存使用率大于80%(规格为1c1G)。内存缓慢增长,持续到早上内存使用率停止在8......
  • 记录一次线上内存溢出排查详细过程
    现象生产上频繁出现调用异常的信息查询生产服务器日志初步评估:查看了这个方法没有性能瓶颈,应该是服务本身出现问题、后来找运维要了一下线上dumpfile文件:内存溢出、猜测可能存在内存泄漏MAT初步排查 从第一个页面来看,内存到达1.7G出现内存溢出问题一:为什么1.7G就溢出了,......
  • 提高代码效率的6个Python内存优化技巧
    当项目变得越来越大时,有效地管理计算资源是一个不可避免的需求。Python与C或c++等低级语言相比,似乎不够节省内存。但是其实有许多方法可以显著优化Python程序的内存使用,这些方法可能在实际应用中并没有人注意,所以本文将重点介绍Python的内置机制,掌握它们将大大提高Python编程技能......
  • 内存泄漏跟内存溢出区别?
    内存溢出指程序使用超过其分配的内存空间,通常程序没有正确的管理内存,比如是一次性加载过多的数据到内存中现象:导致程序无法获取所需要内存中断或者崩溃处理方式:通过优化程序的数据结构和算法,比如分次读取数据或文件,而不是一次性读取所有数据。      内存泄漏指的是......
  • otterctf内存取证-----4 - Name Game
    otterctf内存取证-----4-NameGame看到这题目,看看是不是浏览器登录,无果。这里似乎没有跟题干相关的答案。游戏登录了,登录进程里是不是包含账户信息,把进程dump下来看看。频道后面是不是账户名字,果然猜对了,上面都是假想自己做出来的,感觉蛮有意思的,所以记录下来,进程里居然也能藏历......
  • 内存取证1-进程
    otterctf内存取证-----4-NameGame看到这题目,看看是不是浏览器登录,无果。这里似乎没有跟题干相关的答案。游戏登录了,登录进程里是不是包含账户信息,把进程dump下来看看。频道后面是不是账户名字,果然猜对了,上面都是假想自己做出来的,感觉蛮有意思的,所以记录下来,进程里居然......
  • 如何定位和优化程序CPU、内存等性能之巅
    摘要性能优化指在不影响系统运行正确性的前提下,使之运行得更快,完成特定功能所需的时间更短,或拥有更强大的服务能力。本文将介绍性能优化的基本概念以及如何定位和优化程序中的CPU、内存和IO瓶颈。引言随着计算机系统的日益复杂和应用场景的多样化,性能优化对于提升系统效率和用......
  • Net 高级调试之十六:平台互用性及P/Invoke和内存泄漏调试
    一、简介今天是《Net高级调试》的第十六篇文章,也是这个系列的最后一篇文章了。既然是最后一篇文章,我需要在这里说明一下,我当前的这个系列,不是针对《Net高级调试》这本书来的,而是根据“一线码农”的视频做的这个系列。当然了,他的视频是根据《Net高级调试》这本书来的,内......
  • 关于echarts+vue频繁刷新的造成的内存增长问题
    前言关于解决echarts+ws多次数据刷新渲染,内存增长溢出的尝试。记录一下,便于下次使用有参考方法关闭echarts动画tooltip的动画设置为false。(echarts动画会缓存,通过快照可以看出)tooltip:{axisPointer:{animation:false,//很重要!},......