文章最后更新时间为:2021 年 06 月 04 日 09:32:37 Loading... 题目链接 ---- 链接: https://pan.baidu.com/s/1RfQPAHo_WqMUL4frg9tuXw 提取码: g9mk 所需工具 ---- kali 虚拟机 easy_dump.img 内存镜像 Volatility 内存取证工具 DiskGenius 数据恢复工具 实验准备 ---- 老版kali自带Volatility工具,但是我用的新版找不到。 Volatility下载链接:https://github.com/volatilityfoundation/volatility 下载完成后,准备好py2环境和所需要的库。 ![查看文件夹内容][1] 可以使用`python2 vlo.py`查看缺少的库,并自行安装 - volatility 使用: > volatility -f <文件名> -–profile=<配置文件> <插件> [插件参数] 通过volatility --info获取工具所支持的profile,Address Spaces,Scanner Checks,Plugins 常用插件: > imageinfo:显示目标镜像的摘要信息,知道镜像的操作系统后,就可以在 –profile 中带上对应的操作系统 > pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以 > psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程 > pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程 > mendump:提取出指定进程,常用foremost来分离里面的文件 > filescan:扫描所有的文件列表 > hashdump:查看当前操作系统中的 password hash,例如Windows 的 SAM 文件内容 > svcscan:扫描 Windows 的服务 > connscan:查看网络连接 复现 -- 先用`python2 vol.py -f easy_dump.img imageinfo`命令,查看此img镜像信息 ![img镜像信息][2] 根据`Suggested Profile(s)`的值(第一个和第二个是概率最大的系统),推测可能是Win7SP1x64 所以之后需要用到`--profile=Win7SPx64` 然后查看img里的所有进程`python2 vol.py -f easy_dump.img --profile=Win7SP1x64 psscan` ![img进程][3] 根据题目,推测`DumpIt.exe`是个可疑进程,进程号为`2256` 先分离出这个进程`python2 vol.py -f easy_dump.img --profile=Win7SP1x64 memdump -p 2256 -D ./` 分离后在本目录下生成一个`2256.dmp`的文件 用`binwalk 2256.dmp`命令看一下有哪些隐藏文件,结果发现东西太多 直接用`foremost 2256.dmp`命令分离 cd到output文件夹`ls` ![查看分离出的东西][4] 接着到`zip`文件夹解压,得到又一个img文件 这里开始用DiskGenius工具打开 ![查看message.img][5] 看到files文件夹下有.message.swp文件,打开发现最底下有一串字符。 直接用文本编辑器打开message.img,发现有一大串坐标数据 把格式转换一下,直接用gnuplot转为二维码 ![二维码][6] 扫描得到维吉尼亚的密码 ![hint][7] 维吉尼亚密码加密的字符串就是刚才.message.swp文件最后的, 直接到在线网站解密,得到flag ![得到flag][8] [1]: https://gitee.com/r3387/wenyu/raw/master/2018%20%E6%8A%A4%E7%BD%91%E6%9D%AF%20easy_dump%E9%A2%98%E7%9B%AE%E5%A4%8D%E7%8E%B0/1.PNG [2]: https://gitee.com/r3387/wenyu/raw/master/2018%20%E6%8A%A4%E7%BD%91%E6%9D%AF%20easy_dump%E9%A2%98%E7%9B%AE%E5%A4%8D%E7%8E%B0/2.PNG [3]: https://gitee.com/r3387/wenyu/raw/master/2018%20%E6%8A%A4%E7%BD%91%E6%9D%AF%20easy_dump%E9%A2%98%E7%9B%AE%E5%A4%8D%E7%8E%B0/3.PNG [4]: https://gitee.com/r3387/wenyu/raw/master/2018%20%E6%8A%A4%E7%BD%91%E6%9D%AF%20easy_dump%E9%A2%98%E7%9B%AE%E5%A4%8D%E7%8E%B0/4.PNG [5]: https://gitee.com/r3387/wenyu/raw/master/2018%20%E6%8A%A4%E7%BD%91%E6%9D%AF%20easy_dump%E9%A2%98%E7%9B%AE%E5%A4%8D%E7%8E%B0/5.PNG [6]: https://gitee.com/r3387/wenyu/raw/master/2018%20%E6%8A%A4%E7%BD%91%E6%9D%AF%20easy_dump%E9%A2%98%E7%9B%AE%E5%A4%8D%E7%8E%B0/6.PNG [7]: https://gitee.com/r3387/wenyu/raw/master/2018%20%E6%8A%A4%E7%BD%91%E6%9D%AF%20easy_dump%E9%A2%98%E7%9B%AE%E5%A4%8D%E7%8E%B0/7.PNG [8]: https://gitee.com/r3387/wenyu/raw/master/2018%20%E6%8A%A4%E7%BD%91%E6%9D%AF%20easy_dump%E9%A2%98%E7%9B%AE%E5%A4%8D%E7%8E%B0/8.PNG Last modification:June 4, 2021 © Allow specification reprint Support Appreciate the author Like 0 如果觉得我的文章对你有用,请随意赞赏
One comment
不错 加油