MemLabs取证-Pass-01题解

挑战说明
我姐姐的电脑坏了。 我们非常幸运地恢复了这个内存转储。 你的工作是从系统中获取她所有的重要文件。 根据我们的记忆，我们突然看到一个黑色的窗口弹出，上面有一些正在执行的东西。 崩溃发生时，她正试图画一些东西。 这就是我们从崩溃时所记得的一切。

注意：此挑战由 3 个flag组成。

一、flag1：
1、首先对证据文件进行识别，获取镜像版本等基本信息，使用：imageinfo

volatility -f MemoryDump_Lab1.raw imageinfo

2、根据题意：“我们突然看到一个黑色的窗口弹出，上面有一些正在执行的东西”可知可能运行的是cmd一类的命令行窗口，因此可以直接查看cmd运行记录，使用:cmdscan

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdscan

3、可以看到其中运行了一个指令：“St4G3$1”，所以先查看cmd输出，使用：consloes

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 consoles

3、找到“St4G3$1”的输入，找到了base64加密的flag，对其进行解密

echo 'ZmxhZ3t0aDFzXzFzX3RoM18xc3Rfc3Q0ZzMhIX0=' | base64 -d

二、flag2：
1、cmd看过了，就分析进程信息，再由题意：“崩溃发生时，她正试图画一些东西。”可知我们需要找到绘图相关的进程，使用：pslist

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 pslist

2、找到其中有mspaint.exe在运行，这是一个微软自带的绘图软件，提取进程，使用：memdump

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 memdump -p 2424 -D ./

3、先将得到的进程文件后缀改为“.data”，再使用gimp图像编辑器，调整图像宽高等信息，查找到我们需要的图像信息

4、找到目标后，发现图像是翻转后的，我们需要使用工具中的反转，翻转后得到flag

得到flag：

三、flag3：
1、查看命令行下运行的程序，使用：cmdline

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdline

2、发现有一个压缩包：important.rar，使用文件查找，将其找出，使用：filescan

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 filescan |grep "Important.rar"

3、先从第一个开始将他们提取出来，其中没有内容再尝试后面的，但他们应该都是同一个文件，使用：dumpfiles

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 -D ./

4、修改文件后缀

mv file.None.0xfffffa8001034450.dat file.None.0xfffffa8001034450.rar

5、解压发现需要密码，这种情况可以先看看文件的详细信息，里面可能会有注释信息，帮助我们找到密码

6、发现提示说密码为Alissa的账户密码，值为大写的哈希值，获取账户密码的hash值，使用：hashdump

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 hashdump

7、解密压缩文件得到flag