MemLabs取证-Pass-05题解

Pass-05
2023年4月6日
9:45
挑战说明
我们最近从客户端收到了此内存转储。当他不在时，有人访问了他的系统，他发现正在访问一些相当奇怪的文件。找到这些文件，它们可能会有用。我引用他的确切陈述，
名称不可读。它们由字母和数字组成，但我无法弄清楚它到底是什么。
此外，他注意到他最喜欢的应用程序每次运行时都会崩溃。是病毒吗？
注意：
1、此挑战由3个标志组成。如果你认为第二面旗帜是结束，那不是！！😛

2、在提出这个挑战时有一个小错误。如果您发现任何包含字符串“L4B_3_D0n3！！”的字符串，请将其更改为“L4B_5_D0n3！！”，然后继续。

3、只有当您拥有第 2 阶段标志时，您才会获得第 1 阶段标志。

一、flag1:
1、先查看内存转储的详细信息，使用：imageinfo

vol.py -f /root/Desktop/memlabs/lab5/MemoryDump_Lab5.raw imageinfo

2、查看cmd相关执行情况，观察是否有执行某些内容，使用：cmdscan和consoles

vol.py -f MemoryDump_Lab5.raw --profile=Win7SP1x64 cmdscan

其中并有什么命令输入

vol.py -f MemoryDump_Lab5.raw --profile=Win7SP1x64 consoles

其中只有Dumplit这个软件在执行，没有其他奇怪的文件有执行

3、根据题意：“有人访问了他的系统，他发现正在访问一些相当奇怪的文件”，又由于文件管理器和ie浏览器都是由explorer.exe执行，所以我们只需要查看ie的历史记录，使用：iehistory

vol.py -f MemoryDump_Lab5.raw --profile=Win7SP1x64 iehistory | Location

发现了以上可疑文件

4、由题意：“找到这些文件，它们可能会有用。我引用他的确切陈述，名称不可读。它们由字母和数字组成，但我无法弄清楚它到底是什么。”我们发现了下面的这些可疑文件，查找并提取找到的几个可疑文件，使用：filescan 和 dumpfiles

vol.py -f MemoryDump_Lab5.raw --profile=Win7SP1x64 filescan

vol.py -f MemoryDump_Lab5.raw --profile=Win7SP1x64 dumpfiles -Q xxxxxxxx -D ./

通过查找提取发现只有一个叫：“SW1wb3J0YW50.rar”的文件能找到，将其提取和恢复原文件名

5、解压时发现没有密码，且没有注释相关的提示，我们先将其放在一边

6、但注意我们之前找到的可疑文件中有一个bmp文件的文件名疑似经base64加密，我们对其尝试解密，使用：base64 -d

得到第一个flag：flag{!!_w3LL_d0n3_St4g3-1_0f_L4B_5_D0n3_!!}

二、flag2：
1、我们尝试使用flag1作为密码对第一个压缩包进行解压

密码正确！！找到第二个flag！

三、flag3：
1、前面我们已经查看了cmd的输入、输出、命令执行情况等，并未找到异常，下面我们进行进程信息的分析，使用：psscan

vol.py -f MemoryDump_Lab5.raw --profile=Win7SP1x64 psscan

我们发现了一些可疑信息，正常的notepad进程是小写，而进程信息中出现了多个同名却大写的进程，进程号为：1388、2724、2056

2、我们对其进行进程提取，查看其具体信息，由于在进程信息中它的进程名是一个执行文件，所以我们不使用memdump进行进程提取，而使用：procdump -p

vol.py -f MemoryDump_Lab5.raw --profile=Win7SP1x64 procdump -p xxxx -D ./

我们可疑发现只有2724这个进程可以被提取

3、使用IDA进行分析，取到Flag3