国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

<b id="w3pbh"><menuitem id="w3pbh"></menuitem></b>

<del id="w3pbh"></del>

<label id="w3pbh"><menuitem id="w3pbh"></menuitem></label>

<ruby id="w3pbh"><form id="w3pbh"><option id="w3pbh"></option></form></ruby>

記錄一次內存取證

2年前作者：QiaN_djx分類：Toy博客閱讀(22)違法舉報

這篇具有很好參考價值的文章主要介紹了記錄一次內存取證。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

Volatility簡介

Volatility是一個用于內存取證的框架工具，集成了多種模塊，支持市面常見的操作系統(tǒng)。　　下面簡單瀏覽一下大概界面和常用模塊

第一題:從內存文件中找到異常程序的進程，將進程的名稱作為Flag值提交；

使用vol判斷是否文件版本

? ? ? ? vol.exe -f gs02.raw imageinfo 記錄一次內存取證

選擇一個系統(tǒng)版本,并且查看系統(tǒng)

? ? ? ? vol.exe -f gs02.raw --profile=Win2003SP1x86 pslist 記錄一次內存取證

? ? ? ? ?發(fā)現可疑應用test.exe 記錄一次內存取證

第二題:從內存文件中找到黑客將異常程序遷移后的進程編號，將遷移后的進程編號作為Flag值提交；

通過test.exe的pid 3616

查看一下網絡連接,注意因為這個版本為2003所以無法使用netscan只能使用connections 記錄一次內存取證

?發(fā)現可疑test進程的pid 并且響應的ip地址與剩下兩個進程相同,判斷為遷移后的進程編號

1172? ? ? 3568

第三題:從內存文件中找到受害者訪問的網站惡意鏈接，將網站的惡意鏈接作為Flag值提交

? ? ? ? 輸入指令vol.exe -f gs02.raw --profile=Win2003SP1x86 iehistory

發(fā)現了Route Address地址和瀏覽器痕跡一樣所以判斷為http://192.168.44.105:8080/77sA8gJu1/QoYtjF 記錄一次內存取證

第四題:從內存文件中找到異常程序植入到系統(tǒng)的開機自啟痕跡，使用Volatility工具分析出異常程序在注冊表中植入的開機自啟項的Virtual地址，將Virtual地址作為Flag值提交；

輸入vol.exe -f gs02.raw --profile==Win2003SP1x86 hivelist 記錄一次內存取證

0xe171b008就是虛擬內存

0x1d73e008 \Device\HarddiskVolume1\WINDOWS\system32\config\software?

解析是否存在開機自啟項:

./vol.exe -f gs02.0raw --profile==Win2003SP1x86 -o?0xe200f830 printkey 記錄一次內存取證

發(fā)現了Microsoft注冊表,接著-K打印出來下級目錄

.\volatility_2.6_win64_standalone.exe -f gs02.raw --profile=Win2003SP1x86 -o 0xe171b008 printkey -K "Microsoft" 記錄一次內存取證

?發(fā)現了windows注冊表,接著訪問windows下的注冊表

.\volatility_2.6_win64_standalone.exe -f gs02.raw --profile=Win2003SP1x86 -o 0xe171b008 printkey -K "Microsoft\windows" 記錄一次內存取證

?發(fā)先了windows下有一個CurrentVersion接著訪問下去

.\volatility_2.6_win64_standalone.exe -f gs02.raw --profile=Win2003SP1x86 -o 0xe171b008 printkey -K "Microsoft\windows\CurrentVersion"

記錄一次內存取證

?這里有一個Run目錄,就是開機自啟的注冊表訪問進去

.\volatility_2.6_win64_standalone.exe -f gs02.raw --profile=Win2003SP1x86 -o 0xe171b008 printkey -K "Microsoft\windows\CurrentVersion\Run" 記錄一次內存取證

?發(fā)現了可疑進程test.exe設置了開機自啟功能,同時可以確定了我們的虛擬地址

第五題:從內存文件中找到異常程序植入到系統(tǒng)的開機自啟痕跡，將啟動項最后一次更新的時間作為Flag值提交。（只提交年月日，例如：20210314）

.\volatility_2.6_win64_standalone.exe -f gs02.raw --profile=Win2003SP1x86 shimcache
記錄一次內存取證

?2014-11-20 06:27:32 UTC+0000 ? \??\C:\Program Files\VMware\VMware Tools\resume-vm-default.bat,這個文件就是更改時間的文件

?2014-11-20就是答案

需要題的可以私信我,工具也是文章來源地址http://www.zghlxwxcb.cn/news/detail-498296.html

到了這里，關于記錄一次內存取證的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。如若轉載，請注明出處：如若內容造成侵權/違法違規(guī)/事實不符，請點擊違法舉報進行投訴反饋，一經查實，立即刪除！

分享到：

領支付寶紅包贊助服務器費用

雜記 | 記錄一次使用Docker安裝gitlab-ce的過程（含配置交換內存）
最近想自建一個gitlab服務來保存自己的項目，于是找到gitlab-ce的方式。開工前先梳理一下狀況：具備一臺云服務器（我用的騰訊云） CentOS7的系統(tǒng)，已安裝好了docekr和docker-compose（如果沒裝先自行裝一下）服務器內存為4G（這個內存有點吃緊，先湊合用）服務不直接對外暴露
2024年02月13日
瀏覽(17)
溯源取證-Linux內存取證中難度篇
原諒我這么晚才出來文章，因為最近忙著錄課，至于為啥沒有基礎篇，是因為靶場里沒看見，哈哈這個也是研究了好幾個晚上才出來的東西，此處場景為linux環(huán)境下的rootkit病毒，我們通過這篇文章可以通過內存取證發(fā)現rootkit病毒相關的知識，我個人覺得還是挺實用的，比較
2024年02月16日
瀏覽(26)
數字取證學習之內存取證CTF解題實例
之前做了幾道偏向取證的CTF題目，特此分享下，對于內存取證學習有一定的幫助 volatility2：一款開源的內存取證框架工具，能夠對導出的內存文件進行取證分析 Github開源地址：https://github.com/volatilityfoundation/volatility TA在KALI的低版本有自帶高版本移除了需要自己單獨安裝安裝
2023年04月23日
瀏覽(29)
OtterCTF—內存取證wp
目錄前言一、工具說明二、題目解析 1.What the password? 2.General Info 3.Play Time 4.Name Game 5.Name Game 2 6.Silly Rick 7.Hide And Seek 8.Path To Glory 9.Path To Glory 2 10.Bit 4 Bit 11.Graphic\\\'s For The Weak 12.Recovery 13.Closure 總結前幾天有幸參加了本市的選拔賽，其中有內存取證的題，當時就愣住了，考完后
2024年02月08日
瀏覽(22)
【鏡像取證篇】仿真碎片-記一次鏡像仿真失敗的復盤過程
這個是很久以前的一個鏡像實驗，當時仿真可以看到Windows的啟動界面，但卻一直無法正常進入系統(tǒng)，不斷的嘗試修復，都是顯示錯誤，最后把類型改為IDE后，成功仿真進入系統(tǒng)—【蘇小沐】 1、無法仿真成功實驗環(huán)境 Windows建議用專業(yè)版，功能全。系統(tǒng) Windows10專業(yè)版 VMware
2024年02月03日
瀏覽(20)
記一次k8s取證檢材過期的恢復
復盤盤古石k8s的時候碰到了證書過期的問題，在此記錄解決方法報錯信息： 192.168.91.171:6443 was refused - did you specify the right host or port? 或 master節(jié)點運行 node節(jié)點運行至此完事??！
2024年04月15日
瀏覽(17)
windows內存取證-中等難度-下篇
上文我們對第一臺Target機器進行內存取證，今天我們繼續(xù)往下學習，內存鏡像請從上篇獲取，這里不再進行贅述? 攻擊者執(zhí)行了net use z: 10.1.1.2c$ 指令將 10.1.1.2域控制器的C盤映射到本地的Z盤，并且使用了rar壓縮工具將文件存儲在 crownjewlez.rar里，所以密碼就在這里了將進程
2024年02月05日
瀏覽(16)
OtterCTF---Memory Forensics內存取證(1-13)
CTF地址： OtterCTF 國產化一下：注冊一下登錄就可以（注：因為郵箱不驗證，隨意搞個就可以）：? 第一題：國產化：? ?下載OtterCTF.7z的壓縮包： ?是OtterCTF.vmem鏡像文件 volatility介紹 ????????Volatility是一款非常強大的內存取證工具,它是由來自全世界的數百位知名安全專
2024年02月03日
瀏覽(24)
電子取證之服務器取證，本人第一次從pc取證到服務器，這里有一套例題分享給大家，所有解析我都盡可能全面具體，希望與各位同仁一起學習。（二次修改）
話不多說，先上鏈接，這個包含一個2G的服務器鏡像和題目，原題是弘連公司的，致謝，此處純粹分享解法供大家學習。第二次做題目，發(fā)現寶塔新版已經不支持，所以題目意義減少，還是歡迎手搓與小白來看看鏈接: https://pan.baidu.com/s/1p8T7Fez_VlnSqdzvptARRw?pwd=ybww 提取碼: ybww
2024年02月07日
瀏覽(27)
CTF Misc(2)內存取證基礎以及原理，覆蓋了大部分題型
內存取證在ctf比賽中也是常見的題目，內存取證是指在計算機系統(tǒng)的內存中進行取證分析，以獲取有關計算機系統(tǒng)當前狀態(tài)的信息。內存取證通常用于分析計算機系統(tǒng)上運行的進程、網絡連接、文件、注冊表等信息，并可以用于檢測和分析惡意軟件、網絡攻擊和其他安全事件
2024年02月12日
瀏覽(20)