MemLabs取证-Pass-04题解

Pass-04
2023年4月6日
9:45
挑战说明
我的系统最近遭到入侵。黑客窃取了很多信息，但他也删除了我的一个非常重要的文件。我不知道如何恢复它。目前，我们唯一的证据就是这个内存转储。请帮帮我。
注意：此挑战仅由1个标志组成。
本练习的标志格式为：inctf{s0me_l33t_Str1ng}

一、flag：
1、扫描内存转储文件，获取系统等信息，使用：imageinfo

vol.py -f MemoryDump_Lab4.raw imageinfo

2、查看cmd的相关输入、输出、执行参数等情况，使用：cmdscan、consoles 和 cmdline

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 cmdscan

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 consoles

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 cmdline

经筛查并没有找到什么可疑的文件等信息

3、扫描进程信息，使用：psscan

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 psscan

4、扫描后发现进程中有ie浏览器的进程存在，下面进行ie浏览器历史扫描，使用：iehistory

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 iehistory

发现几个疑似Flag相关文件，secrets.txt、flag.txt.txt、Important.txt.txt等

5、尝试对他们进行提取，使用：dumpfiles

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 filescan |grep txt

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 filescan |grep png

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e88a8c0 -D ./

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fc398d0 -D ./

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fcb0070 -D ./

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e8d19e0 -D ./

6、对提取出来的文件进行恢复原名并查看内容

在文件中检索fla，并没有发现扫描有用信息

7、分析题意，我们无法转储文本文件的原因是被黑客删除，在这里我们需要了解MFT表，NTFS文件系统包含一个称为主文件表或MFT，对于NTFS文件系统卷上每个文件，MFT中至少有一个条目，且文件大小在小于等于1024字节会直接存储在MFT表，如果超过1024字节，则该表将仅包含其位置信息。使用：mftparser

vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 mftparser

8、获取flag

将上一步得到的内容处理后得到flag：inctf{1_is_n0t_EQu4l_7o_2_bUt_th1s_d0s3nt_m4ke_s3ns3}