题目链接

链接: https://pan.baidu.com/s/1RfQPAHo_WqMUL4frg9tuXw 提取码: g9mk

所需工具

kali 虚拟机
easy_dump.img 内存镜像
Volatility 内存取证工具
DiskGenius 数据恢复工具

实验准备

老版kali自带Volatility工具,但是我用的新版找不到。
Volatility下载链接:https://github.com/volatilityfoundation/volatility
下载完成后,准备好py2环境和所需要的库。
查看文件夹内容
可以使用python2 vlo.py查看缺少的库,并自行安装

  • volatility 使用:
volatility -f <文件名> -–profile=<配置文件> <插件> [插件参数]
通过volatility --info获取工具所支持的profile,Address Spaces,Scanner Checks,Plugins

常用插件:

imageinfo:显示目标镜像的摘要信息,知道镜像的操作系统后,就可以在 –profile 中带上对应的操作系统
pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以
psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程
mendump:提取出指定进程,常用foremost来分离里面的文件
filescan:扫描所有的文件列表
hashdump:查看当前操作系统中的 password hash,例如Windows 的 SAM 文件内容
svcscan:扫描 Windows 的服务
connscan:查看网络连接

复现

先用python2 vol.py -f easy_dump.img imageinfo命令,查看此img镜像信息
img镜像信息
根据Suggested Profile(s)的值(第一个和第二个是概率最大的系统),推测可能是Win7SP1x64
所以之后需要用到--profile=Win7SPx64
然后查看img里的所有进程python2 vol.py -f easy_dump.img --profile=Win7SP1x64 psscan
img进程
根据题目,推测DumpIt.exe是个可疑进程,进程号为2256
先分离出这个进程python2 vol.py -f easy_dump.img --profile=Win7SP1x64 memdump -p 2256 -D ./
分离后在本目录下生成一个2256.dmp的文件
binwalk 2256.dmp命令看一下有哪些隐藏文件,结果发现东西太多
直接用foremost 2256.dmp命令分离
cd到output文件夹ls
查看分离出的东西
接着到zip文件夹解压,得到又一个img文件
这里开始用DiskGenius工具打开
查看message.img
看到files文件夹下有.message.swp文件,打开发现最底下有一串字符。
直接用文本编辑器打开message.img,发现有一大串坐标数据
把格式转换一下,直接用gnuplot转为二维码
二维码
扫描得到维吉尼亚的密码
hint
维吉尼亚密码加密的字符串就是刚才.message.swp文件最后的,
直接到在线网站解密,得到flag
得到flag

最后修改:2021 年 06 月 04 日 09 : 32 AM
如果觉得我的文章对你有用,请随意赞赏