开个新坑,因为之后的比赛会涉及到取证,所以这里会有一个取证的合集,
因为是穷苦学生莫得马内去买那些一键软件,所以这里我会使用volatility等一些有学习版的软件,如果涉及到其他软件会贴出下载地址。
取证比赛的网址Forensics-Wiki
题目1:请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]
指令:./volatility.exe -f 文件路径/文件 imageinfo
imageinfo:调用这个插件,获取关于内存镜像文件的基本信息
根据题目描述,在这些信息中主要是下面两行,注意审题时北京时间,所以我们就要取utc+8
flag:2023-6-21 01:02:27
题目2:请给出计算机内用户yang88的开机密码?[答案格式:abc.123]
思路:用指令把主机用户的信息hashdump下来
指令:./volatility.exe -f 文件路径/文件 --profile Win7SP1x64 hashdump
这里的Win7SP1x64在第一个问题中,我们获取文件信息的时候Suggested Profile也就是建议系统,一般取第一个,然后利用haspdump去dump下来用户信息
注:这里有两个哈希值
这里取第二个NTLM哈希用于验证用户身份的主要哈希,第一个之后会有用
yang88:46e5597f00c98ae6cf3917b07bcc00be
flag:3w.qax.com
题目3:提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]
这里需要下载插件usbstorvolatility插件合集
指令:python2 vol.py -f /root/桌面/Memory/blue_cat/memdump.mem --profile=Win7SP1x64 usbstor
注:这里获取到的是utc+0的时间我们要转换为utc+8的时间在线时间转换
flag:2023-06-21 01:01:25
题目4:请给出用户yang88的LMHASH值?[答案格式:字母小写]
这里直接用题目2dump下来的第一个hash值就行了
./volatility.exe -f 文件路径/文件 --profile Win7SP1x64 hashdump
flag:aad3b435b51404eeaad3b435b51404ee
题目5:请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]
指令:python2 vol.py -f /root/桌面/Memory/blue_cat/memdump.mem --profile=Win7SP1x64 mftparser | grep "xlsx"
这里会用到mftparse和之前都差不多,记得改时间
flag:2023-06-21 00:29:16
题目6:请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]
这里用到pslist插件
指令:python2 vol.py -f memdump.mem --profile=Win7SP1x64 pslist
直接搜索就行,记得转换
flag:2023-06-21 00:47:41
题目7:分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]
指令:python2 vol.py -f /root/桌面/Memory/blue_cat/memdump.mem --profile=Win7SP1x64 chromehistory
过于混乱,这里发现维斯塔斯的地址为:vip.licai.com:8083,直接在指令后加入grep过滤
flag:2
题目8:请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]
这题可以参考题6
指令:python2 vol.py -f memdump.mem --profile=Win7SP1x64 pslist
第一个为PID,第二个是PPID
flag:2456