内存取证CTF-Memlabs靶场4
作者:互联网
1.挑战说明
我的系统最近遭到入侵。黑客窃取了很多信息,但他也删除了我的一个非常重要的文件。我不知道如何恢复它。目前,我们唯一的证据就是这个内存转储。请帮帮我。
注意:此挑战仅由1个标志组成。
本练习的标志格式为:inctf{s0me_l33t_Str1ng}
靶机地址:https://github.com/stuxnet999/MemLabs/tree/master/Lab%204
2.Flag获取过程
2.1 识别内存镜像的操作系统
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw imageinfo
2.2 获取进程
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 pslist
发现浏览器进程,可以尝试获取一下历史记录
2.3 获取IE历史记录
iehistory插件能够恢复IE历史索引的片段.dat缓存文件,看到几个疑似Flag相关文件,secrets.txt
、flag.txt.txt
、Important.txt.txt
等
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 iehistory
2.4 尝试提取敏感文件
在文件检索时,只能够检索到三个文件,且只有FXSAPIDebugLogFile.txt提取成功,其余的全部失败
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 filescan |grep txt vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 filescan |grep png vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e88a8c0 -D ../memlabs/lab4 vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fc398d0 -D ../memlabs/lab4 vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fcb0070 -D ../memlabs/lab4 vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e8d19e0 -D ../memlabs/lab4
2.5 对提取出的文件进行重命名并查看
在文件中检索fla,未发现有用信息
mv file.None.0xfffffa80022d1670.dat FXSAPIDebugLogFile.txt vim FXSAPIDebugLogFile.txt
2.6 分析题意
我们无法转储文本文件的原因是被黑客删除,在这里我们需要了解MFT表,NTFS文件系统包含一个称为主文件表或MFT,对于NTFS文件系统卷上每个文件,MFT中至少有一个条目,且文件大小在小于等于1024字节会直接存储在MFT表,如果超过1024字节,则该表将仅包含其位置信息。
我们在MFT表中搜索:Important.txt、Screenshot1.png,发现Important.txt有data数据,Screenshot1.png无data数据
2.7 获取Flag
将.全部替换为空值,得到内容为:inctf{1_is_n0t_EQu4l_7o_2_bUt_th1s_d0s3nt_m4ke_s3ns3}Goodwork:P
最终Flag为:inctf{1_is_n0t_EQu4l_7o_2_bUt_th1s_d0s3nt_m4ke_s3ns3}
标签:py,memlabs,Lab4,Desktop,CTF,lab4,Memlabs,靶场,txt 来源: https://blog.csdn.net/qq_42947816/article/details/122763440