吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.pyclye.live

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 6802|回復: 67
上一主題 下一主題

[CTF] CTF內存取證入門(以安洵杯為例)

  [復制鏈接]
跳轉到指定樓層
樓主
獨行雨中 發表于 2019-12-24 13:26 回帖獎勵
本帖最后由 獨行雨中 于 2019-12-24 14:17 編輯

題目下載地址:鏈接:https://pan.baidu.com/s/1IQqpaBk7OXsj8BW0h3OShw 提取碼:mz1l
[Asm] 純文本查看 復制代碼
[email protected]:~# volatility -f /root/桌面/mem.dump imageinfo //獲取dump的版本
Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_24000, Win7SP1x64_23418
                     AS Layer1 : WindowsAMD64PagedMemory (Kernel AS)
                     AS Layer2 : FileAddressSpace (/root/桌面/mem.dump)
                      PAE type : No PAE
                           DTB : 0x187000L
                          KDBG : 0xf80003e02110L
          Number of Processors : 1
     Image Type (Service Pack) : 1
                KPCR for CPU 0 : 0xfffff80003e03d00L
             KUSER_SHARED_DATA : 0xfffff78000000000L
           Image date and time : 2019-11-13 08:39:44 UTC+0000
     Image local date and time : 2019-11-13 16:39:44 +0800

Win7SP1x64的dump

之后的命令需使用


[Asm] 純文本查看 復制代碼
volatility -f 文件名 --profile  dump的系統版本  命令


[Asm] 純文本查看 復制代碼
[email protected]:~# volatility -f /root/桌面/mem.dump --profile=Win7SP1x64 pslist
Volatility Foundation Volatility Framework 2.6
Offset(V)          Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit                          
------------------ -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0xfffffa800ccc1b10 System                    4      0     88      534 ------      0 2019-11-13 08:31:48 UTC+0000                                 
0xfffffa800d2fbb10 smss.exe                252      4      2       29 ------      0 2019-11-13 08:31:48 UTC+0000                                 
0xfffffa800e2227e0 csrss.exe               344    328      9      400      0      0 2019-11-13 08:31:49 UTC+0000                                 
0xfffffa800e3f3340 wininit.exe             396    328      3       79      0      0 2019-11-13 08:31:49 UTC+0000                                 
0xfffffa800e3f77d0 csrss.exe               404    388     10      225      1      0 2019-11-13 08:31:49 UTC+0000                                 
0xfffffa800e41fb10 winlogon.exe            444    388      3      111      1      0 2019-11-13 08:31:49 UTC+0000                                 
0xfffffa800e457060 services.exe            500    396      8      210      0      0 2019-11-13 08:31:49 UTC+0000                                 
0xfffffa800e426b10 lsass.exe               508    396      6      554      0      0 2019-11-13 08:31:49 UTC+0000                                 
0xfffffa800e464060 lsm.exe                 516    396      9      145      0      0 2019-11-13 08:31:49 UTC+0000                                 
0xfffffa800e4f8b10 svchost.exe             608    500     10      351      0      0 2019-11-13 08:31:50 UTC+0000                                 
0xfffffa800e52bb10 svchost.exe             684    500      8      273      0      0 2019-11-13 08:31:50 UTC+0000                                 
0xfffffa800e570b10 svchost.exe             768    500     21      443      0      0 2019-11-13 08:31:50 UTC+0000                                 
0xfffffa800e5b5b10 svchost.exe             816    500     16      381      0      0 2019-11-13 08:31:50 UTC+0000                                 
0xfffffa800e5d7870 svchost.exe             860    500     18      666      0      0 2019-11-13 08:31:50 UTC+0000                                 
0xfffffa800e5f8b10 svchost.exe             888    500     37      919      0      0 2019-11-13 08:31:50 UTC+0000                                 
0xfffffa800e66c870 svchost.exe            1016    500      5      114      0      0 2019-11-13 08:31:50 UTC+0000                                 
0xfffffa800e74fb10 svchost.exe            1032    500     15      364      0      0 2019-11-13 08:31:51 UTC+0000                                 
0xfffffa800e510320 spoolsv.exe            1156    500     13      273      0      0 2019-11-13 08:31:51 UTC+0000                                 
0xfffffa800e5b0060 svchost.exe            1184    500     11      194      0      0 2019-11-13 08:31:51 UTC+0000                                 
0xfffffa800e56e060 svchost.exe            1276    500     10      155      0      0 2019-11-13 08:31:52 UTC+0000                                 
0xfffffa800e685060 svchost.exe            1308    500     12      228      0      0 2019-11-13 08:31:52 UTC+0000                                 
0xfffffa800e632060 svchost.exe            1380    500      4      167      0      0 2019-11-13 08:31:52 UTC+0000                                 
0xfffffa800e692060 VGAuthService.         1480    500      4       94      0      0 2019-11-13 08:31:52 UTC+0000                                 
0xfffffa800e7dab10 vmtoolsd.exe           1592    500     11      287      0      0 2019-11-13 08:31:52 UTC+0000                                 
0xfffffa800e8a7720 svchost.exe            1824    500      6       92      0      0 2019-11-13 08:31:53 UTC+0000                                 
0xfffffa800e898300 WmiPrvSE.exe           1980    608     10      203      0      0 2019-11-13 08:31:53 UTC+0000                                 
0xfffffa800e8e9b10 dllhost.exe            2044    500     15      197      0      0 2019-11-13 08:31:53 UTC+0000                                 
0xfffffa800e90d840 msdtc.exe              1320    500     14      152      0      0 2019-11-13 08:31:54 UTC+0000                                 
0xfffffa800e991b10 taskhost.exe           2208    500     10      264      1      0 2019-11-13 08:31:56 UTC+0000                                 
0xfffffa800e44a7a0 dwm.exe                2268    816      7      144      1      0 2019-11-13 08:31:57 UTC+0000                                 
0xfffffa800e9b8b10 explorer.exe           2316   2260     25      699      1      0 2019-11-13 08:31:57 UTC+0000                                 
0xfffffa800ea4f060 vm3dservice.ex         2472   2316      2       40      1      0 2019-11-13 08:31:57 UTC+0000                                 
0xfffffa800ea54b10 vmtoolsd.exe           2480   2316      9      188      1      0 2019-11-13 08:31:57 UTC+0000                                 
0xfffffa800ea9ab10 rundll32.exe           2968   2620      6      611      1      1 2019-11-13 08:32:02 UTC+0000                                 
0xfffffa800e8b59c0 WmiPrvSE.exe           2764    608     11      316      0      0 2019-11-13 08:32:13 UTC+0000                                 
0xfffffa800ea75b10 cmd.exe                2260   2316      1       20      1      0 2019-11-13 08:33:45 UTC+0000                                 
0xfffffa800e687330 conhost.exe            2632    404      2       63      1      0 2019-11-13 08:33:45 UTC+0000                                 
0xfffffa800e41db10 WmiApSrv.exe           2792    500      4      113      0      0 2019-11-13 08:34:27 UTC+0000                                 
0xfffffa800ed68840 CnCrypt.exe            1608   2316      4      115      1      1 2019-11-13 08:34:40 UTC+0000                                 
0xfffffa800e4a5b10 audiodg.exe            2100    768      6      130      0      0 2019-11-13 08:39:29 UTC+0000                                 
0xfffffa800ea57b10 DumpIt.exe             1072   2316      1       26      1      1 2019-11-13 08:39:43 UTC+0000                                 
0xfffffa800ea1c060 conhost.exe            2748    404      2       62      1      0 2019-11-13 08:39:43 UTC+0000

列出進程

[Asm] 純文本查看 復制代碼
volatility -f 文件 --profile=版本 memdump -p [PID] -D [dump 出的文件保存的目錄]

提取進程的dump


[Asm] 純文本查看 復制代碼
[email protected]:~# volatility -f /root/桌面/mem.dump --profile=Win7SP1x64 cmdscan
Volatility Foundation Volatility Framework 2.6
**************************************************
CommandProcess: conhost.exe Pid: 2632
CommandHistory: 0x242350 Application: cmd.exe Flags: Allocated, Reset
CommandCount: 1 LastAdded: 0 LastDisplayed: 0
FirstCommand: 0 CommandCountMax: 50
ProcessHandle: 0x60
Cmd #0 @ 0x2229d0: flag.ccx_password_is_same_with_Administrator 
**************************************************
CommandProcess: conhost.exe Pid: 2748
CommandHistory: 0x2926d0 Application: DumpIt.exe Flags: Allocated
CommandCount: 0 LastAdded: -1 LastDisplayed: -1
FirstCommand: 0 CommandCountMax: 50
ProcessHandle: 0x60

cmdscan獲取曾經在cmd上輸入過的內容 得到信息:存在文件 flag.ccx

該文件的密碼和administrator的密碼相同

[Asm] 純文本查看 復制代碼
[email protected]:~# volatility -f /root/桌面/mem.dump --profile=Win7SP1x64 filescan | grep flag.ccx
Volatility Foundation Volatility Framework 2.6
0x000000003e435890     15      0 R--rw- \Device\HarddiskVolume2\Users\Administrator\Desktop\flag.ccx

尋找flag.ccx文件

文件地址為0x3e435890


[Asm] 純文本查看 復制代碼
[email protected]:~# volatility -f /root/桌面/mem.dump --profile=Win7SP1x64 dumpfiles -Q 0x3e435890 --dump-dir=./
Volatility Foundation Volatility Framework 2.6
DataSectionObject 0x3e435890   None   \Device\HarddiskVolume2\Users\Administrator\Desktop\flag.ccx

dump文件



dump下來的文件

接下來尋找administrator的密碼


[Asm] 純文本查看 復制代碼
[email protected]:~# volatility -f /root/桌面/mem.dump --profile=Win7SP1x64  printkey -K "SAM\Domains\Account\Users\Names"
Volatility Foundation Volatility Framework 2.6
Legend: (S) = Stable   (V) = Volatile
----------------------------
Registry: \SystemRoot\System32\Config\SAM
Key name: Names (S)
Last updated: 2019-10-15 02:56:47 UTC+0000
Subkeys:
  (S) Administrator
  (S) Guest
Values:
REG_NONE                      : (S)

列出SAM表的用戶


[Asm] 純文本查看 復制代碼
[email protected]:~# volatility -f /root/桌面/mem.dump --profile=Win7SP1x64  hivelist
Volatility Foundation Volatility Framework 2.6
Virtual            Physical           Name
------------------ ------------------ ----
0xfffff8a001cfd010 0x0000000039828010 \??\C:\Users\Administrator\AppData\Local\Microsoft\Windows\UsrClass.dat
0xfffff8a002fa2010 0x0000000013a3f010 \??\C:\System Volume Information\Syscache.hve
0xfffff8a00000f010 0x0000000023385010 [no name]
0xfffff8a000024010 0x0000000023510010 \REGISTRY\MACHINE\SYSTEM
0xfffff8a000064010 0x0000000023552010 \REGISTRY\MACHINE\HARDWARE
0xfffff8a0000e7410 0x0000000011bcc410 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
0xfffff8a000100360 0x0000000015346360 \SystemRoot\System32\Config\SECURITY
0xfffff8a0003f4410 0x000000001527d410 \SystemRoot\System32\Config\DEFAULT
0xfffff8a0007ae010 0x000000001d867010 \Device\HarddiskVolume1\Boot\BCD
0xfffff8a0012d4010 0x000000001c938010 \SystemRoot\System32\Config\SOFTWARE
0xfffff8a001590010 0x000000001151a010 \SystemRoot\System32\Config\SAM
0xfffff8a0015ca010 0x00000000111a3010 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
0xfffff8a001c34010 0x0000000039803010 \??\C:\Users\Administrator\ntuser.dat

獲取SYSTEM SAM的虛擬地址 分別為0xfffff8a000024010  0xfffff8a001590010

[Bash shell] 純文本查看 復制代碼
[email protected]:~# volatility -f /root/桌面/mem.dump --profile=Win7SP1x64  hashdump -y 0xfffff8a000024010 -s 0xfffff8a001590010
Volatility Foundation Volatility Framework 2.6
Administrator:500:6377a2fdb0151e35b75e0c8d76954a50:0d546438b1f4c396753b4fc8c8565d5b:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

hashdump獲取用戶密碼的hash值



CMD5查詢hash值得到Administrator賬戶的密碼



=======================至此完成加密文件提取和用戶密碼提取========================



之前查看進程時發現cncrypt

猜測文件使用cncrypt加密的

CnCrypt加載得到flag



======================================================================

其他volatility命令

hivedump打印出注冊表中的數據 :
[Asm] 純文本查看 復制代碼
volatility -f name  --profile=WinXPSP2x86 hivedump -o 注冊表的 virtual 地址


顯示每個進程的加載dll列表
[Asm] 純文本查看 復制代碼
Volatility -f name -profile = Win7SP0x86 dlllist> dlllist.txt


獲取SAM表中的用戶:
[Asm] 純文本查看 復制代碼
volatility -f name --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"


登陸賬戶系統
[Asm] 純文本查看 復制代碼
volatility -f name --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"


userassist鍵值包含系統或桌面執行文件的信息,如名稱、路徑、執行次數、最后一次執行時間等
[Asm] 純文本查看 復制代碼
volatility -f name --profile=WinXPSP2x86 userassist


將內存中的某個進程數據以 dmp 的格式保存出來
[Asm] 純文本查看 復制代碼
volatility -f name --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目錄]


提取內存中保留的 cmd 命令使用情況
[Asm] 純文本查看 復制代碼
volatility -f name --profile=WinXPSP2x86 cmdscan


獲取到當時的網絡連接情況
[Asm] 純文本查看 復制代碼
volatility -f name --profile=WinXPSP2x86 netscan


獲取 IE 瀏覽器的使用情況 :
[Asm] 純文本查看 復制代碼
volatility -f name --profile=WinXPSP2x86 iehistory


獲取內存中的系統密碼,可以使用 hashdump 將它提取出來
[Asm] 純文本查看 復制代碼
volatility -f name --profile=WinXPSP2x86 hashdump -y (注冊表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)
volatility -f name --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60
volatility -f name --profile=WinXPSP2x86 timeliner


對文件查找及dumo提取某個進程:
[Asm] 純文本查看 復制代碼
volatility -f name --profile=Win7SP1x64 memdump -D . -p 2872
strings -e l ./2872.dmp | grep flag
volatility -f name --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -n --dump-dir=./


HASH匹配用戶賬戶名密碼:
[Asm] 純文本查看 復制代碼
Hash, 然后使用john filename --format=NT破解


安全進程掃描
[Asm] 純文本查看 復制代碼
volatility -f name --profile=Win7SP1x64 psscan


Flag字符串掃描:
[Asm] 純文本查看 復制代碼
strings -e l 2616.dmp | grep flag


查找圖片:
[Asm] 純文本查看 復制代碼
volatility -f name--profile=Win7SP1x64 filescan | grep -E 'jpg|png|jpeg|bmp|gif
volatility -f name --profile=Win7SP1x64 netscan


注冊表解析
[Asm] 純文本查看 復制代碼
volatility -f name --profile=Win7SP1x64 hivelist
volatility -f name --profile=Win7SP1x64  -o 0xfffff8a000024010 printkey -K "ControlSet001\Control;"


復制、剪切版:
[Asm] 純文本查看 復制代碼
volatility -f name --profile=Win7SP1x64 clipboard
volatility -f name --profile=Win7SP1x64 dlllist -p 3820


Dump所有進程:
[Asm] 純文本查看 復制代碼
volatility -f name --profile=Win7SP1x64 memdump -n chrome -D .


利用字符串查找download
[Asm] 純文本查看 復制代碼
python vol.py -f name --profile=Win7SP1x86 shimcache


svcscan查看服務
[Asm] 純文本查看 復制代碼
python vol.py -f name --profile=Win7SP1x86 svcscan

免費評分

參與人數 53吾愛幣 +42 熱心值 +45 收起 理由
ipp + 1 我很贊同!
zhengjim + 1 + 1 我很贊同!
悅兒姐姐 + 1 + 1 我很贊同!
iYoloPPD + 1 用心討論,共獲提升!
q74330 + 1 + 1 這么長的分析,,上分
七個漲停一倍 + 1 我很贊同!
zzkw + 1 + 1 [email protected]!
luoluoovo + 2 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
iYolo丶Yudi + 1 [email protected]!
sunnylds7 + 1 + 1 熱心回復!
iret_52 + 1 我很贊同!
ChanCherry + 1 熱心回復!
chenhongyuan + 1 熱心回復!
狼貓 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
QGZZ + 1 + 1 我很贊同!
yemeng + 1 + 1 熱心回復!
siuhoapdou + 1 + 1 [email protected]!
莫千秋 + 1 + 1 我很贊同!
Jack2002 + 1 + 1 用心討論,共獲提升!
poisonbcat + 1 + 1 [email protected]!
LOSING_FISH + 1 已經處理,感謝您對吾愛破解論壇的支持!
dkrt + 1 熱心回復!
JuDei + 1 + 1 用心討論,共獲提升!
Jerryzhang + 1 + 1 雖然看不懂,但是看起來很厲害的樣子
vinming540 + 1 + 1 我很贊同!
yixi + 1 + 1 [email protected]!
su.tim + 1 牛逼了
Plus_0426 + 1 + 1 [email protected]!
Intro + 1 我很贊同!
Mojiu + 1 + 1 我很贊同!
獨行風云 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
Jsong_ + 1 + 1 用心討論,共獲提升!
丶風存 + 1 + 1 用心討論,共獲提升!
RSu52 + 1 [email protected]!
ttao88 + 1 [email protected]!
修羅本滅世 + 1 + 1 不明覺厲,先收藏了
zysanjing1 + 1 + 1 我很贊同!
tahelin + 1 + 1 我很贊同!
青絲浮云阡陌 + 1 + 1 用心討論,共獲提升!
x88tv + 1 用心討論,共獲提升!
smile5 + 1 用心討論,共獲提升!
tte + 1 我很贊同!
笙若 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
冰雪冬櫻250 + 1 + 1 [email protected]!
yaerhuo + 1 + 1 用心討論,共獲提升!
Kacirzures + 1 + 1 熱心回復!
Corona + 1 用心討論,共獲提升!
錢德賓 + 1 用心討論,共獲提升!
xiangxiong + 1 + 1 熱心回復!
gaosld + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
Devita + 1 + 1 用心討論,共獲提升!
zhao. + 1 用心討論,共獲提升!
hu9626 + 1 + 1 我很贊同!

查看全部評分

本帖被以下淘專輯推薦:

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
 樓主| 獨行雨中 發表于 2019-12-24 21:12 <
ilovegua 發表于 2019-12-24 16:47
hashdump獲取用戶密碼的hash值
然后發現CMD5解不了改hash
全劇終

其實更大的難點在于獲取這個dump
推薦
coderzgh 發表于 2019-12-25 09:18
ilovegua 發表于 2019-12-24 16:47
hashdump獲取用戶密碼的hash值
然后發現CMD5解不了改hash
全劇終

你得問題 在于錢不夠 哈哈
4#
daymissed 發表于 2019-12-24 14:28
5#
Hmily 發表于 2019-12-24 16:29
取證類的資料較少,感謝分享,加精鼓勵。
6#
處女-大龍貓 發表于 2019-12-24 16:38
收藏了,66666666666
7#
ilovegua 發表于 2019-12-24 16:47
hashdump獲取用戶密碼的hash值
然后發現CMD5解不了改hash
全劇終
8#
china-ray 發表于 2019-12-24 16:54
感謝分享,值得學習,就是不知道這種應該從哪里入手開始學習?
9#
jideco 發表于 2019-12-24 16:55
太可怕了,樓主多講點
10#
xiangxiong 發表于 2019-12-24 18:22
多謝樓主分享
11#
hhz5 發表于 2019-12-24 20:01
Study ...
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:禁止回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2020-1-14 22:51

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回復 返回頂部 返回列表
腾讯二分彩骗局