zoukankan      html  css  js  c++  java

  • BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证

    题目介绍

    这道题目,我们要在Buu上面做需要的步骤需要调整,先下载链接内容,然后在下载附加。
    在这里插入图片描述

    BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证

    P1

    我们使用volatility,进行镜像分析

    volatility -f mem.raw imageinfo

    Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (xxxxxxx[内存取证]volatilitymem.raw)
                      PAE type : PAE
                           DTB : 0x185000L
                          KDBG : 0x8176bbe8L
          Number of Processors : 2
     Image Type (Service Pack) : 0
                KPCR for CPU 0 : 0x8176cc00L
                KPCR for CPU 1 : 0x807ec000L
             KUSER_SHARED_DATA : 0xffdf0000L
           Image date and time : 2020-02-18 19:56:24 UTC+0000
     Image local date and time : 2020-02-19 03:56:24 +0800

    这里咋们知道了这个的系统是Win7SP1x86_23418

    P2

    查看进程

    volatility.exe -f mem.raw --profile=Win7SP1x86_23418 pslist

    Volatility Foundation Volatility Framework 2.6
Offset(V)  Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit
---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0x829af8c0 System                    4      0    101      479 ------      0 2020-02-18 19:52:20 UTC+0000
0x83c4d948 smss.exe                280      4      2       30 ------      0 2020-02-18 19:52:20 UTC+0000
0x83cc8030 csrss.exe               376    352      9      453      0      0 2020-02-18 19:52:20 UTC+0000
0x844e4d40 wininit.exe             432    352      3       79      0      0 2020-02-18 19:52:20 UTC+0000
0x844d9608 csrss.exe               440    424     10      311      1      0 2020-02-18 19:52:20 UTC+0000
0x84d59d40 services.exe            488    432      7      209      0      0 2020-02-18 19:52:21 UTC+0000
0x8466f030 lsass.exe               520    432      7      595      0      0 2020-02-18 19:52:21 UTC+0000
0x8466f600 lsm.exe                 528    432     10      146      0      0 2020-02-18 19:52:21 UTC+0000
0x8465e3b0 winlogon.exe            536    424      4      115      1      0 2020-02-18 19:52:21 UTC+0000
0x846af568 svchost.exe             668    488     10      356      0      0 2020-02-18 19:52:21 UTC+0000
0x846c0728 svchost.exe             740    488      8      285      0      0 2020-02-18 19:52:21 UTC+0000
0x8861ead8 svchost.exe             804    488     21      467      0      0 2020-02-18 19:52:21 UTC+0000
0x846e6300 svchost.exe             860    488     23      487      0      0 2020-02-18 19:52:21 UTC+0000
0x846edb38 svchost.exe             884    488     39      988      0      0 2020-02-18 19:52:21 UTC+0000
0x847315c0 audiodg.exe             988    804      7      132      0      0 2020-02-18 19:52:21 UTC+0000
0x8475d728 svchost.exe            1060    488     15      557      0      0 2020-02-18 19:52:21 UTC+0000
0x846a4740 WUDFHost.exe           1164    860      9      202      0      0 2020-02-18 19:52:22 UTC+0000
0x847913f8 svchost.exe            1260    488     17      382      0      0 2020-02-18 19:52:22 UTC+0000
0x846a8348 spoolsv.exe            1372    488     13      300      0      0 2020-02-18 19:52:22 UTC+0000
0x84805318 svchost.exe            1432    488     20      314      0      0 2020-02-18 19:52:22 UTC+0000
0x848104a8 taskhost.exe           1480    488     10      211      1      0 2020-02-18 19:52:22 UTC+0000
0x84648560 taskeng.exe            1536    884      5       76      0      0 2020-02-18 19:52:23 UTC+0000
0x84885348 imdsksvc.exe           1720    488      3       41      0      0 2020-02-18 19:52:23 UTC+0000
0x848a3d40 coherence.exe          1760    488      6       62      0      0 2020-02-18 19:52:23 UTC+0000
0x848a8b38 prl_tools_serv         1796    488     11      160      0      0 2020-02-18 19:52:23 UTC+0000
0x848b2728 dwm.exe                1832    860      4       73      1      0 2020-02-18 19:52:23 UTC+0000
0x848c52e8 coherence.exe          1840   1760      4       40      1      0 2020-02-18 19:52:23 UTC+0000
0x848ca878 dllhost.exe            1880    488      8       97      0      0 2020-02-18 19:52:23 UTC+0000
0x848df648 prl_tools.exe          1904   1796     10      144      1      0 2020-02-18 19:52:23 UTC+0000
0x848e4578 explorer.exe           1964   1808     31      873      1      0 2020-02-18 19:52:23 UTC+0000
0x84871b10 dllhost.exe             824    488     17      204      0      0 2020-02-18 19:52:24 UTC+0000
0x8486cd40 svchost.exe             696    488     11      307      0      0 2020-02-18 19:52:24 UTC+0000
0x848b3a00 prl_cc.exe             2204   1904     32      385      1      0 2020-02-18 19:52:24 UTC+0000
0x84992d40 msdtc.exe              2536    488     15      155      0      0 2020-02-18 19:52:25 UTC+0000
0x83940728 sppsvc.exe             2792    488      4      148      0      0 2020-02-18 19:52:28 UTC+0000
0x839cab10 SearchIndexer.         2868    488     13      588      0      0 2020-02-18 19:52:30 UTC+0000
0x83c0ad40 TrueCrypt.exe          3364   3188      7      388      1      0 2020-02-18 19:52:44 UTC+0000
0x837f5d40 notepad.exe            3552   1964      2       61      1      0 2020-02-18 19:53:07 UTC+0000
0x82a7e568 iexplore.exe           3640   1964     16      468      1      0 2020-02-18 19:53:29 UTC+0000
0x847c8030 iexplore.exe           3696   3640     25      610      1      0 2020-02-18 19:53:29 UTC+0000
0x848a7030 mspaint.exe            2648   1964     18      383      1      0 2020-02-18 19:54:01 UTC+0000
0x82b8bd40 svchost.exe            1660    488      7      112      0      0 2020-02-18 19:54:01 UTC+0000
0x83bf0030 mscorsvw.exe           2908    488      7       75      0      0 2020-02-18 19:54:24 UTC+0000
0x82bf4d40 dllhost.exe             628    668      6       86      1      0 2020-02-18 19:56:22 UTC+0000
0x82bf4768 dllhost.exe            1728    668      6       81      0      0 2020-02-18 19:56:22 UTC+0000
0x83922030 DumpIt.exe             1500   1964      2       39      1      0 2020-02-18 19:56:22 UTC+0000
0x82bf3408 conhost.exe            1872    440      2       51      1      0 2020-02-18 19:56:22 UTC+0000
0x82b85b40 WMIADAP.exe            1120    884      6       91      0      0 2020-02-18 19:56:23 UTC+0000
0x82a9fb38 WmiPrvSE.exe            684    668      8      119      0      0 2020-02-18 19:56:24 UTC+0000

    在所有进程中我找到最可疑的几个:

    Offset(V)  Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit
---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0x83c0ad40 TrueCrypt.exe          3364   3188      7      388      1      0 2020-02-18 19:52:44 UTC+0000
0x837f5d40 notepad.exe            3552   1964      2       61      1      0 2020-02-18 19:53:07 UTC+0000
0x82a7e568 iexplore.exe           3640   1964     16      468      1      0 2020-02-18 19:53:29 UTC+0000
0x847c8030 iexplore.exe           3696   3640     25      610      1      0 2020-02-18 19:53:29 UTC+0000
0x848a7030 mspaint.exe            2648   1964     18      383      1      0 2020-02-18 19:54:01 UTC+0000
0x83922030 DumpIt.exe             1500   1964      2       39      1      0 2020-02-18 19:56:22 UTC+0000

    以上进程比较可疑,

    TrueCrypt 一个磁盘软件
    notepad 万能的记事本
    iexplore 浏览器
    mspaint 画图
    DumpIt 内存读取工具

    P3

    我们先查看浏览器记录

    volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory

    发现没有任何效果,我这边使用取证大师
    在这里插入图片描述
    找到了一个这个,还有一种方法你要是时间够多一个一个找
    在这里插入图片描述

    where is link?链接: https://pan.baidu.com/s/ 提取码: heem
    复制这段内容后打开百度网盘手机App,操作更方便哦

    获得以上内容
    可是,单单找这一段还是,不对的是无法打开vol这个下载地址
    这里我们看一下提示
    在这里插入图片描述
    把重心放在notepad 这个上面,我们把这个下载下来

    volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 -D ./

    把他下载下来找一下
    在这里插入图片描述

    https://pan.baidu.com/share/init?surl=jAVwrRzIgW1QsLHidtzY_w
    看一下之前获得的提取码
    提取码: heem

    我们就可以下载附件vol了,应为现在百度云盘关闭了,我们在中心放在这个vol文件中。

    P4

    vol 我通过binwalk,volatility,发现都没有反应,我查阅一下发现是一个加密的磁盘,需要这个工具EFDD(Elcomsoft Forensic Disk Decryptor)
    我们先把mem.raw当中的TrueCrypt 给Dump,下载下来

    volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3364 -D ./
    。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
    Volatility Foundation Volatility Framework 2.6
    ************************************************************************Writing TrueCrypt.exe [ 3364] to 3364.dmp

    1
    2
    在这里插入图片描述
    3
    在这里插入图片描述
    4
    在这里插入图片描述
    5
    在这里插入图片描述
    6
    在这里插入图片描述
    7
    在这里插入图片描述
    8
    在这里插入图片描述
    9
    在这里插入图片描述

    P5

    然后使用uOjFdKu1jsbWI8N51jsbWI8N5
    来挂载一下在这里插入图片描述
    得到一个加密的zip,现在需要找一下密码
    在这里插入图片描述

    P6

    这里我找了很久,发现了之前进程中有一个可以的画板,正常怎么可能会开画板呢
    我们先把画板的给Dump下来

    volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 2648 -D ./
    。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 Volatility Foundation Volatility
    Framework 2.6
    ************************************************************************ Writing mspaint.exe [ 2648] to 2648.dmp

    我们这时候需要一个位移软件GIMP在这里插入图片描述
    再把2648.dmp 修改后缀 2648.data 然后就可以打开软件开始位移
    我们一直尝试在这里插入图片描述
    找到了一串密码,为了更加清楚,我们通过旋转查看一下:
    在这里插入图片描述
    密码:1YxfCQ6goYBD6Q
    然后我们来打开哪个zip吧
    在这里插入图片描述
    成功!

    RoarCTF{wm_D0uB1e_TC-cRypt}
  • 相关阅读:
    BZOJ 3732 Network —— 最小生成树 + 倍增LCA
    HDU2586 How far away? —— 倍增LCA
    HDU 5969 最大的位或 —— 贪心 + 二进制的理解
    HDU5968 异或密码 —— 二分 + 边界的细节处理
    Codeforces Round #383 (Div. 2) C. Arpa's loud Owf and Mehrdad's evil plan —— DFS找环
    Codeforces Round #383 (Div. 2) D. Arpa's weak amphitheater and Mehrdad's valuable Hoses —— DP(01背包)
    Codeforces Round #383 (Div. 2) B. Arpa’s obvious problem and Mehrdad’s terrible solution —— 异或
    mysql管理----状态参数释义
    mysql优化———第二篇:数据库优化调整参数
    mysql---事务
  • 原文地址:https://www.cnblogs.com/Mercurysur/p/13898475.html
Copyright © 2011-2022 走看看