[NSSRound#1 Basic]cut_into_thirds内存取证

一.安装volatility

1.下载volatility

    https://github.com/volatilityfoundation/volatility

    然后把解压出来的文件夹改名为volatility，使用指令移动到/usr/local

sudo mv volatility/ /usr/local/

  2.通过修改profile,配置环境变量

sudo vim /etc/profile
然后在最后，换行添加一句
export PATH=/usr/local/volatility:$PATH

  3.运行vol.py

直接vol.py

不出意外的话应该会出现：

    不过没有关系，因为没有导入distorm3，虽然我后来也导过了，但还是不行，我也不知道为什么，但是distorm只是x86/AMD64的强大的反汇编库，可以不用理他

二.[NSSRound#1 Basic]cut_into_thirds

  

1.知识储备

常见的取证文件后缀：.raw/.vmem/.img

    raw指原始图像文件，指尚未被处理，未被打印或用于编译

    vmem指虚拟内存文件，是由虚拟机创建的

    img是一种文件压缩格式，主要是为了创建软盘的镜像文件，可以用来压缩整个软盘或整片光盘的内容

    volatility常用命令格式：

python vol.py -f [image] ‐-profile=[profile][plugin] 命令
其中 -f 后面加的是要取证的文件， --profile 后加的是工具识别出的系统版本， [plugin] 是指使用的插件，其中默认存在一些插件，另外还可以自己下载一些插件扩充

  2.首先判断当前镜像信息，得出是哪个操作系统

vol.py -f /home/ydy/桌面/cut_into_thirds.raw imageinfo

得到镜像版本是Win7SP1x64

3.查看进程，列出进程列表

vol.py -f /home/ydy/桌面/cut_into_thirds.raw imageinfo --profile=Win7SP1x64 pslist
//如果没有列出进程列表，说明最后的pslist应该没有执行，我一开始就是的，然后把这个命令放到前面就好了
vol.py pslist -f /home/ydy/桌面/cut_into_thirds.raw imageinfo --profile=Win7SP1x64

得到好多进程，粗略看了一下，有一个进程很可疑：

4.用memdump命令dump出指定进程

vol.py  memdump -p 1164 -D /home/ydy/桌面/ps -f /home/ydy/桌面/cut_into_thirds.raw imageinfo --profile=Win7SP1x64
//mendump：提取出指定进程，常用foremost 来分离里面的文件
//需要指定进程-p [pid] 和输出目录 -D

用foremost分离出里面的文件：

part1：3930653363343839  

bae16解密得到第一部分：90e3c489

5.用procdump直接把1164提取出来

vol.py  procdump -p 1164 -D /home/ydy/桌面/ps -f /home/ydy/桌面/cut_into_thirds.raw imageinfo --profile=Win7SP1x64

接着就在我创建的文件夹里看到了提取出来的executable.1164.exe文件，用strings和grep命令匹配里面是否包含part字符串，grep命令匹配成功的话将输出包含这一字符串的行

 strings ./executable.1164.exe | grep "part"

part2：GRRGGYJNGQ4GKMBNMJRTONI=

base16解密得到第二部分：4bca-48e0-bc75

6.安装插件mimitaze获取用户信息

  我试了很多种办法都报错，运行不了mimitaze这个命令，不知道为什么。。。

vol.py  mimitaze -f /home/ydy/桌面/cut_into_thirds.raw imageinfo --profile=Win7SP1x64

  最后运行出来应该在password里看到part3：MTEwOTFmNWI3ZTNh

  base64解密得到：11091f5b7e3a

最后三部分拼接起来就得到flag