[V&N2020 公开赛]内存取证
作者:互联网
题目地址:
https://buuoj.cn/challenges#[V&N2020 公开赛]内存取证
这题用到的内存取证分析工具是Volatility
关于这个工具的具体命令非常多,可以在官方页面仔细看看
解题
先下载上面的附件,这种raw文件是内存取证工具Dumpit提取内存生成的内存转储文件。
按理说kali应该是自带Volatility的,我这个版本没找到…
然后直接凑合用
git clone https://github.com/volatilityfoundation/volatility
先镜像分析:
python vol.py -f mem.raw imageinfo
获取到一些信息,得知系统版本为Win7SP1x86_23418
,这个之后会用到
INFO : volatility.debug : Determining profile based on KDBG search...
Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86
AS Layer1 : IA32PagedMemoryPae (Kernel AS)
AS Layer2 : FileAddressSpace (/home/volcano/桌面/mem.raw)
PAE type : PAE
DTB : 0x185000L
KDBG : 0x8176bbe8L
Number of Processors : 2
Image Type (Service Pack) : 0
KPCR for CPU 0 : 0x8176cc00L
KPCR for CPU 1 : 0x807ec000L
KUSER_SHARED_DATA : 0xffdf0000L
Image date and time : 2020-02-18 19:56:24 UTC+0000
Image local date and time : 2020-02-19 03:56:24 +0800
接着使用pslist
分析一下进程
python vol.py -f mem.raw --profile=Win7SP1x86_23418 pslist
结合hint,可知notepad.exe是要分析的可疑进程。
参考大佬们的做法,得知TrueCrypt.exe (pid 3364)和mspaint.exe (pid 2648)也需要分析。
notepad.exe pid 3552
TrueCrypt.exe pid 3364(磁盘加密工具)
mspaint.exe pid 2648(画图工具)
Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit
---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0x829af8c0 System 4 0 101 479 ------ 0 2020-02-18 19:52:20 UTC+0000
0x83c4d948 smss.exe 280 4 2 30 ------ 0 2020-02-18 19:52:20 UTC+0000
0x83cc8030 csrss.exe 376 352 9 453 0 0 2020-02-18 19:52:20 UTC+0000
0x844e4d40 wininit.exe 432 352 3 79 0 0 2020-02-18 19:52:20 UTC+0000
0x844d9608 csrss.exe 440 424 10 311 1 0 2020-02-18 19:52:20 UTC+0000
0x84d59d40 services.exe 488 432 7 209 0 0 2020-02-18 19:52:21 UTC+0000
0x8466f030 lsass.exe 520 432 7 595 0 0 2020-02-18 19:52:21 UTC+0000
0x8466f600 lsm.exe 528 432 10 146 0 0 2020-02-18 19:52:21 UTC+0000
0x8465e3b0 winlogon.exe 536 424 4 115 1 0 2020-02-18 19:52:21 UTC+0000
0x846af568 svchost.exe 668 488 10 356 0 0 2020-02-18 19:52:21 UTC+0000
0x846c0728 svchost.exe 740 488 8 285 0 0 2020-02-18 19:52:21 UTC+0000
0x8861ead8 svchost.exe 804 488 21 467 0 0 2020-02-18 19:52:21 UTC+0000
0x846e6300 svchost.exe 860 488 23 487 0 0 2020-02-18 19:52:21 UTC+0000
0x846edb38 svchost.exe 884 488 39 988 0 0 2020-02-18 19:52:21 UTC+0000
0x847315c0 audiodg.exe 988 804 7 132 0 0 2020-02-18 19:52:21 UTC+0000
0x8475d728 svchost.exe 1060 488 15 557 0 0 2020-02-18 19:52:21 UTC+0000
0x846a4740 WUDFHost.exe 1164 860 9 202 0 0 2020-02-18 19:52:22 UTC+0000
0x847913f8 svchost.exe 1260 488 17 382 0 0 2020-02-18 19:52:22 UTC+0000
0x846a8348 spoolsv.exe 1372 488 13 300 0 0 2020-02-18 19:52:22 UTC+0000
0x84805318 svchost.exe 1432 488 20 314 0 0 2020-02-18 19:52:22 UTC+0000
0x848104a8 taskhost.exe 1480 488 10 211 1 0 2020-02-18 19:52:22 UTC+0000
0x84648560 taskeng.exe 1536 884 5 76 0 0 2020-02-18 19:52:23 UTC+0000
0x84885348 imdsksvc.exe 1720 488 3 41 0 0 2020-02-18 19:52:23 UTC+0000
0x848a3d40 coherence.exe 1760 488 6 62 0 0 2020-02-18 19:52:23 UTC+0000
0x848a8b38 prl_tools_serv 1796 488 11 160 0 0 2020-02-18 19:52:23 UTC+0000
0x848b2728 dwm.exe 1832 860 4 73 1 0 2020-02-18 19:52:23 UTC+0000
0x848c52e8 coherence.exe 1840 1760 4 40 1 0 2020-02-18 19:52:23 UTC+0000
0x848ca878 dllhost.exe 1880 488 8 97 0 0 2020-02-18 19:52:23 UTC+0000
0x848df648 prl_tools.exe 1904 1796 10 144 1 0 2020-02-18 19:52:23 UTC+0000
0x848e4578 explorer.exe 1964 1808 31 873 1 0 2020-02-18 19:52:23 UTC+0000
0x84871b10 dllhost.exe 824 488 17 204 0 0 2020-02-18 19:52:24 UTC+0000
0x8486cd40 svchost.exe 696 488 11 307 0 0 2020-02-18 19:52:24 UTC+0000
0x848b3a00 prl_cc.exe 2204 1904 32 385 1 0 2020-02-18 19:52:24 UTC+0000
0x84992d40 msdtc.exe 2536 488 15 155 0 0 2020-02-18 19:52:25 UTC+0000
0x83940728 sppsvc.exe 2792 488 4 148 0 0 2020-02-18 19:52:28 UTC+0000
0x839cab10 SearchIndexer. 2868 488 13 588 0 0 2020-02-18 19:52:30 UTC+0000
0x83c0ad40 TrueCrypt.exe 3364 3188 7 388 1 0 2020-02-18 19:52:44 UTC+0000
0x837f5d40 notepad.exe 3552 1964 2 61 1 0 2020-02-18 19:53:07 UTC+0000
0x82a7e568 iexplore.exe 3640 1964 16 468 1 0 2020-02-18 19:53:29 UTC+0000
0x847c8030 iexplore.exe 3696 3640 25 610 1 0 2020-02-18 19:53:29 UTC+0000
0x848a7030 mspaint.exe 2648 1964 18 383 1 0 2020-02-18 19:54:01 UTC+0000
0x82b8bd40 svchost.exe 1660 488 7 112 0 0 2020-02-18 19:54:01 UTC+0000
0x83bf0030 mscorsvw.exe 2908 488 7 75 0 0 2020-02-18 19:54:24 UTC+0000
0x82bf4d40 dllhost.exe 628 668 6 86 1 0 2020-02-18 19:56:22 UTC+0000
0x82bf4768 dllhost.exe 1728 668 6 81 0 0 2020-02-18 19:56:22 UTC+0000
0x83922030 DumpIt.exe 1500 1964 2 39 1 0 2020-02-18 19:56:22 UTC+0000
0x82bf3408 conhost.exe 1872 440 2 51 1 0 2020-02-18 19:56:22 UTC+0000
0x82b85b40 WMIADAP.exe 1120 884 6 91 0 0 2020-02-18 19:56:23 UTC+0000
0x82a9fb38 WmiPrvSE.exe 684 668 8 119 0 0 2020-02-18 19:56:24 UTC+0000
notepad
先看一下notepad
python vol.py -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 --dump-dir=./
得到一个3552.dmp文件,直接binwalk或者foremost得不到有效信息,于是用010editor打开,发现有明文信息,于是慢慢翻
这个链接肯定是不对的,于是照着这个格式,一共找到五个相似链接,经过测试得到正确链接和提取码
https://pan.baidu.com/share/init?surl=jAVwrRzIgW1QsLHidtzY_w
提取码:heem
发现分享的文件已经被删除了,因为比赛结束了,这个链接其实就是题目给出的VOL附件
,这里是重温一下做题步骤
mspaint
接着分析一下mspaint
python vol.py -f mem.raw --profile=Win7SP1x86_23418 memdump -p 2648 --dump-dir=./
参考【CTF】利用volatility与Gimp实现Windows内存取证,使用Gimp
我的kali没有这个,所以先安装sudo apt install gimp gimp-help-en -y
然后把得到的2648.dmp改名为2648.data
,再用Gimp打开
之后就是不断的尝试了,最终结果如下
然后借助word,把图片翻转一下,得到1YxfCQ6goYBD6Q
TrueCrypt
最后是TrueCrypt
python vol.py -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3364 --dump-dir=./
拿到dmp文件后,使用Elcomsoft Forensic Disk Decryptor破解版
顺序如下
保存之后
随后去指定位置(我这里是F盘)查看,发现有一个key文件,内容如下
得到uOjFdKu1jsbWI8N51jsbWI8N5
挂载
然后使用TrueCrypt或者VeraCrypt对VOL进行挂载
我这里用的是VeraCrypt
随便选一个盘,点击【加载】后输入密码uOjFdKu1jsbWI8N51jsbWI8N5
这里需要勾选TrueCrypt Mode
,否则会出错
完成后,因为我是挂载在L盘,所以需要打开L盘,发现一个加密文件
使用前面画图得到的密码1YxfCQ6goYBD6Q
,得到flag:RoarCTF{wm_D0uB1e_TC-cRypt}
参考文章:
https://blog.xiafeng2333.top/ctf-11/
https://segmentfault.com/a/1190000018813033?utm_source=tag-newest
标签:02,exe,0000,19,18,2020,内存,公开赛,N2020 来源: https://blog.csdn.net/weixin_45696568/article/details/115412467