内存取证练习-1

本题来源:金砖技能大赛-应急响应-内存镜像分析、46届世界技能大赛湖北省选拔赛-数字取证

你作为 A 公司的应急响应人员,请分析提供的内存文件按照下面的要求找到 相关关键信息,完成应急响应事件。
1、从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);   
2、获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;
3、获取当前系统浏览器搜索过的关键词,作为 Flag 提交;
4、当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;
5、恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。

参考链接:

内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证-CSDN博客

第46届金砖国家世界技能大赛湖北省选拔赛 内存取证样题一_第46界世界技能大赛湖北数据取证-CSDN博客

解题步骤

1、从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);

(1)拉取镜像,获取操作系统信息

vol.py -f worldskills3.vmem imageinfo

image-20241215152700280

(2)查看用户名密码信息(我们就当第一个操作系统合格的,一般第一个都是)

vol.py -f worldskills3.vmem --profile=Win7SP1x64 hashdump
当然也可以先查看用户信息
vol.py -f worldskills3.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"

image-20241215154242206

直接使用lsadump查看强密码试试

image-20241215154940228

得到flag{406990ff88f13dac3c9debbc0769588c}

但是这不是我们要的答案,将flag值进行md5解密得到明文密码

image-20241215155200446

6位密码,有点搞笑了

2、获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;

netscan查看网络连接情况,获取当前系统ip

vol.py -f worldskills3.vmem --profile=Win7SP1x64 netscan

image-20241215155818218

浏览一遍,就它了

查看主机名第一种方法:通过查看注册表查看主机名

vol.py -f worldskills3.vmem --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

image-20241215160529282

具体搜索键名方式可查看第46届金砖国家世界技能大赛湖北省选拔赛 内存取证样题一_第46界世界技能大赛湖北数据取证-CSDN博客

查看主机名第二种方法:通过查看环境变量查看主机名

vol.py -f worldskills3.vmem --profile=Win7SP1x64 envars | grep COMPUTERNAME

image-20241215161145600

3、获取当前系统浏览器搜索过的关键词,作为 Flag 提交;

vol.py -f worldskills3.vmem --profile=Win7SP1x64 iehistory

image-20241215162311646

也就这个了,幸好历史记录比较少

4、当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;

vol.py -f worldskills3.vmem --profile=Win7SP1x64 psscan

image-20241215162648979

发现svchost.exe有着大量进程,很可疑

image-20241215163014114

已连接的相关进程只有这一个,所以确定了ip和端口

5、恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。

上一题确定了挖矿进程,那么这个恶意进程指的应该也是它,并且得到了其进程ID为2588,进而查看一下是否有子进程

vol.py -f worldskills3.vmem --profile=Win7SP1x64 pslist -p 2588

image-20241215163525191

得到有一个子进程3036,查看它的服务项

vol.py -f worldskills3.vmem --profile=Win7SP1x64 svcscan | grep "3036" -A 10或者
vol.py -f worldskills3.vmem --profile=Win7SP1x64 svcscan
直接查看所有的服务项,找到PID为3036的服务项

image-20241215164119612

答案

题目 答案
1、从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位); Flag{admin,dfsddew}
2、获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交; Flag{192.168.85.129:WIN-9FBAEH4UV8C}
3、获取当前系统浏览器搜索过的关键词,作为 Flag 提交; Flag{admin@file:///C:/Users/admin/Desktop/flag.txt}
4、当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交; Flag{54.36.109.161:2222}
5、恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。 Flag{VMnetDHCP}
posted @ 2024-12-15 16:47  kriton  阅读(693)  评论(0)    收藏  举报