目錄

前言

一、工具說明

二、題目解析

1.What the password?

2.General Info

3.Play Time

4.Name Game

5.Name Game 2

6.Silly Rick

7.Hide And Seek

8.Path To Glory

9.Path To Glory 2

10.Bit 4 Bit

11.Graphic's For The Weak

12.Recovery

13.Closure

總結(jié)

---

前言

前幾天有幸參加了本市的選拔賽，其中有內(nèi)存取證的題，當(dāng)時就愣住了，考完后趕緊找題目學(xué)習(xí)一下，學(xué)長介紹的這個OtterCTF靶場個人認為非常好，很適合像我這樣的初學(xué)者。

一、工具說明

系統(tǒng)：kali，windows10

本文使用的工具有：volatility，ILSpy / IDE，HiddenTearDecrypter?

二、題目解析

1.What the password?

you got a sample of rick's PC's memory. can you get his user password? format: CTF{...}

你得到了rick電腦內(nèi)存的樣本。你能得到他的用戶密碼嗎？格式：CTF｛…｝

我們拿到了他的電腦樣本OtterCTF.vmem，使用volatility查看此鏡像的信息

vol.py -f /root/Desktop/OtterCTF.vmem imageinfo

?我們可以發(fā)現(xiàn)此鏡像版本為Win7SP1x64，題目要求我們得到他的用戶密碼，我們指定系統(tǒng)版本，使用hashdump命令即可

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 hashdump

?

拿到密碼，但是為哈希值，我使用kali自帶解析hash的工具hash-identifier，沒有成功放入chatgpt中告訴我這是MD4哈運算得到的哈希值，于是搜了一下volatility的命令，發(fā)現(xiàn)lsadump可以強制顯示密碼。

lsadump：從注冊表中提取LSA密鑰信息,顯示加密以后的數(shù)據(jù)用戶密碼

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 lsadump

?flag:CTF{MortyIsReallyAnOtter}

2.General Info

Let's start easy - whats the PC's name and IP address? format: CTF{flag}

讓我們簡單地開始吧——電腦的名稱和IP地址是什么？格式：CTF｛flag｝

如何尋找本機的ip地址，直接使用netscan命令查看網(wǎng)絡(luò)連接情況不就可以了

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 netscan

?里面本地地址最多且有效的就只有192.168.202.131了，進行查詢PC名稱，用hivelist命令查詢注冊表。

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 hivelist

?windows下PC名通常儲存在SYSTEM下，所以通過 -o ‘ ’+printkey 查看注冊表鍵名

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

?PC名在ControlSet001和ControlSet002中都有我們這里選擇查看001，通過-K ‘’ 查看鍵值

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 -K "ControlSet001" printkey
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 -K "ControlSet001\Control" printkey
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 -K "ControlSet001\Control\ComputerName" printkey
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 -K "ControlSet001\Control\ComputerName\ComputerName" printkey

?

?flag:CTF{192.168.202.131} CTF{WIN-LO6FAF3DTFE}

3.Play Time

Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server?? ?format: CTF{flag}

Rick只是喜歡玩一些好的老式電子游戲。你能說出他在玩什么游戲嗎？服務(wù)器的IP地址是什么？格式：CTF｛flag｝

題目讓我們找出游戲名稱和服務(wù)器的ip地址，作為flag，名稱可以使用pslist命令在系統(tǒng)進程中找到

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 pslist

?通過百度我們發(fā)現(xiàn)LunarMS.exe可能為游戲，打包成flag提交確定此就是游戲名，知道游戲名稱了，查找此線索通過使用查詢網(wǎng)絡(luò)連接的netscan命令配合grep命令可查找到游戲的ip地址。

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 netscan|grep LunarMS

?查找出此游戲的ip地址為77.102.199.102

flag:CTF{LunarMS.exe},CFT{77.102.199.102}

4.Name Game

We know that the account was logged in to a channel called Lunar-3. what is the account name?format: CTF{flag}

我們知道該帳戶已登錄到一個名為Lunar-3的頻道。賬戶名稱是什么？格式：CTF｛flag｝

題目要求我們把LunarMS游戲中Lunar-3頻道的賬戶名稱搞出來。上題我們找到了LunarMS的進程，于是我們可以先把此游戲dump下來

volatility中-p指向進程號(PID)，memdump是轉(zhuǎn)儲進程的可尋址內(nèi)存

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64  memdump -p 708 -D /root/Desktop/dump

?題目提示是Lunar-3頻道，于是我們可以使用winhex或者kali自帶的strings命令配合grep命令進行

搜索。

strings  708.dmp | grep Lunar-3 -C 10 

??最后找到的用戶名為0tt3r8r33z3

flag:CTF{0tt3r8r33z3}

5.Name Game 2

From a little research we found that the username of the logged on character is always after this signature: 0x64 0x??{6-8} 0x40 0x06 0x??{18} 0x5a 0x0c 0x00{2} What's rick's character's name? format: CTF{...}

通過一點研究，我們發(fā)現(xiàn)登錄字符的用戶名總是在這個簽名之后：0x64 0x？？｛6-8｝0x40 0x06 0x？？{18} 0x5a 0x0c 0x00｛2｝rick角色的名字是什么？格式：CTF｛…｝

這個題目非常有意思，讓我們尋找rick角色的名字是什么？并給出了0x64 0x？？｛6-8｝0x40 0x06 0x？？{18} 0x5a 0x0c 0x00｛2｝的提示。此提示的意思是16進制64后6-8位是16進制40 16進制06，再18位后是十六進制5a 十六進制0c 十六進制00.。

根據(jù)這個提示，我們可以將第四題dump下來的文件內(nèi)容用grep進行篩選有十六進制5a 十六進制0c 十六進制00的片段，并往前進行確認，但這里需要用到kali自帶的16進制查看器hexhump。

hexdump -C 708.dmp |grep "5a 0c 00" -A 3 -B 3

?最后找到此片段符合題目要求。

flag:CTF{M0rtyL0L}

6.Silly Rick

Silly rick always forgets his email's password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick's email password?? ? ? ? ?format: CTF{flag}

Silly rick總是忘記電子郵件的密碼，所以他使用在線存儲密碼服務(wù)來存儲密碼。他總是復(fù)制并粘貼密碼，這樣他就不會弄錯了。rick的電子郵件密碼是什么？格式：CTF｛flag｝

題目讓我們查找電子郵箱的密碼，并提示我們經(jīng)常復(fù)制粘貼于是我們使用clipboard命令查看剪貼板

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 clipboard

?直接找到flag

flag:CTF{M@il_Pr0vid0rs}

7.Hide And Seek

The reason that we took rick's PC memory dump is because there was a malware infection. Please find the malware process name (including the extension) BEAWARE! There are only 3 attempts to get the right flag!format: CTF{flag}

我們拿走rick電腦內(nèi)存轉(zhuǎn)儲的原因是因為有惡意軟件感染。請查找惡意軟件進程名稱（包括擴展名）注意！只有3次嘗試才能獲得正確的旗幟！格式：CTF｛flag｝

此題讓我們找出惡意進程名稱，我們可以使用pslist命令查詢進程但太多了，有層次地看看會更好一些，于是我們使用pstree命令查看進程樹。

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64  pstree

上來我就感覺vmware-tray.exe很不對勁，因為在我的認知中vmware一直與虛擬機有關(guān)，這個則成為了Rick And Morty的子程序，于是我提交了他發(fā)現(xiàn)猜對了。

具體為什么他是惡意程序，我們進行深入挖掘一下

用dlllist命令打印每個進程加載的動態(tài)鏈接庫列表，-p指向pid

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 dlllist -p 3720

?發(fā)現(xiàn)了他在Temp目錄下運行，要知道Temp是windows下的臨時文件夾，一般程序不會放在此文件夾中，放在此文件夾中的程序一般為惡意程序。

flag:CTF{vmware-tray.exe}

8.Path To Glory

How did the malware got to rick's PC? It must be one of rick old illegal habits...? format: CTF{...}

惡意軟件是如何進入rick的電腦的？這一定是一種古老的非法習(xí)慣。。。 格式：CTF｛…｝

這個題我看見是很懵的，因為不知道他想要表達的是什么。于是我看了看其他大佬的wp，從惡意程序的父程序Rick And Morty開始，用filescan命令配合grep找一找這個文件

filescan 提取文件對象（file objects）池信息

vol.py -f /root/桌面/OtterCTF.vmem --profile=Win7SP1x64 filescan|grep 'Rick And Morty'

發(fā)現(xiàn)了有6個文件，3個種子文件和3個exe文件，先將種子文件dump下來，進行分析?。

dumpfiles 提取內(nèi)存中映射或緩存的文件

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64  dumpfiles -Q 0x000000007d8813c0 -D /root/Desktop/dump
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64  dumpfiles -Q 0x000000007dae9350 -D /root/Desktop/dump
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64  dumpfiles -Q 0x000000007dcbf6f0 -D /root/Desktop/dump

?再通過strings命令進行查找分析。

strings file.None.0xfffffa801af10010.dat
strings file.None.0xfffffa801b42c9e0.dat
strings file.None.0xfffffa801b51ccf0.dat

?最終發(fā)現(xiàn)了flag:M3an_T0rren7_4_R!cke? 但是最后的e沒有不知道什么原因。

flag:CTF{M3an_T0rren7_4_R!ck}

9.Path To Glory 2

Continue the search after the way that malware got in.? ? ? ? format: CTF{...}

在惡意軟件進入后繼續(xù)搜索。格式：CTF｛…｝

這道題目依舊不知道干啥，沒事接著翻大佬的wp。

大佬說先把所有的chrome瀏覽器進程轉(zhuǎn)儲下來,這里注意一定要建立一個目錄，把chrome儲存的內(nèi)容都放在目錄中，要不容易混亂。

查找進程，發(fā)現(xiàn)Rick And Morty上面是好幾個chrome程序。

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 pslist

?把chrome.exe給dump下來具體分析。

memdump 轉(zhuǎn)儲進程的可尋址內(nèi)存

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 memdump -n chrome.exe  -D /root/Desktop/dump/chrome

?使用strings命令配合grep命令查找Rick And Morty相關(guān)數(shù)據(jù)，這里查找的是Rick And Morty下載中相關(guān)的數(shù)據(jù)。

strings ./chrome/* | grep 'Rick And Morty season 1 download.exe' -C 10

?最終我們找到了flag：Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in 沒有Year咱也不知道為什么，在此過程中我們還發(fā)現(xiàn)了Flag.txt應(yīng)該與后面的題目有關(guān)。

flag:CTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}

10.Bit 4 Bit

We've found out that the malware is a ransomware. Find the attacker's bitcoin address.

format: CTF{...}

我們已經(jīng)發(fā)現(xiàn)這個惡意軟件是一個勒索軟件。查找攻擊者的比特幣地址。

格式：CTF｛…｝

題目告訴我們這是個勒索軟件，要我們查找比特幣地址，其實就是說請逆向軟件，并分析。

我們先把勒索軟件程序dump下來，查找此勒索軟件的進程。

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 pstree

?procdump 進程轉(zhuǎn)儲到一個可執(zhí)行文件示例

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 procdump -p 3720 -D /root/Desktop/dump

?然后使用ILSpy或者IDE進行反編譯，這里我是用ILSpy，直接搜索address，就可發(fā)現(xiàn)出flag.

?發(fā)現(xiàn)大佬們直接根據(jù)題目中的提示“ransomware”，就直接找出flag。（不得不說太牛了）

strings -e l /root/Desktop/OtterCTF.vmem | grep -i -A 5 "ransomware"

?flag:CTF{1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M}

11.Graphic's For The Weak

There's something fishy in the malware's graphics.? ? ? ?format: CTF{...}

惡意軟件的圖形中有可疑之處。格式：CTF｛…｝

做CTF雜項做的，看見照片，直接就上手formost分離照片，而且還真被分離出來了。

foremost executable.3720.exe -o odic

?flag:CTF{S0_Just_M0v3_Socy}

12.Recovery

Rick got to have his files recovered! What is the random password used to encrypt the files?format: CTF{...}

里克必須找回他的文件！用于加密文件的隨機密碼是什么？ 格式：CTF｛…｝

題目告知是隨機密碼，因為生成隨機密碼一定是軟件內(nèi)部代碼，，于是我就回到逆向中查找Password，最終有所發(fā)現(xiàn)

?string text=computerName+" - "+userName+" - " +password

通過之前的題目我們知道了：

userName有3個分別為：Administrator??Guest??Rick? 此題目與Rick And Morty有關(guān)所以

userName：Rick

computerName：WIN-LO6FAF3DTFE

string text=WIN-LO6FAF3DTFE-Rick+password

根據(jù)上面的分析，密碼已經(jīng)呼之欲出了，只要把惡意程序dump下來，使用grep進行關(guān)鍵字查找就可以了。

先查找惡意程序進程的pid

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 pslist

?將此進程dump下來

memdump 轉(zhuǎn)儲進程的可尋址內(nèi)存

vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 memdump -p 3720 -D /root/Desktop/dump/password

?在通過老配方strings命令配合grep命令，查找password

strings -el 3720.dmp | grep 'WIN-LO6FAF3DTFE-Rick' -C 5

自此，我們就找到了password：aDOBofVYUNVnmp7

flag:CTF{aDOBofVYUNVnmp7}

13.Closure

Now that you extracted the password from the memory, could you decrypt rick's files?

既然你從內(nèi)存中提取了密碼，你能解密rick的文件嗎？

題目讓我們進行解密，所以一定要有需要解密的文件和解密軟件。

需要解密的文件：讓我想到了第9關(guān)發(fā)現(xiàn)的Flag.txt

解密軟件：未知

解密密碼：aDOBofVYUNVnmp7

我們先把Flag.txt給dump下來，

dumpfiles 提取內(nèi)存中映射或緩存的文件

strings ./chrome/* | grep 'Rick And Morty season 1 download.exe' -C 10
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 filescan|grep -i 'Flag'
vol.py -f /root/Desktop/OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -D /root/Desktop/dump 

?這里保存下來的文件為file.None.0xfffffa801b0532e0.dat，為了方便給他重命名為flag.dat。

?接下來找破解軟件，嗯。。。沒有思路。

大佬，借鑒，謝謝

好了，根據(jù)大佬的思路，查看pdb，為什么查找pdb文件，他里面有啥，我粘貼了份介紹，供大家參考。

pdb文件主要存儲了如下調(diào)試信息：
（1）public, private,和static函數(shù)地址。
（2）全局變量的名稱和地址。
（3）參數(shù)和局部變量的名稱及它們在棧中的偏移量。
（4）類型定義，包括class, structure,和 data definitions。
（5）源文件名稱和行號。
————————————————
版權(quán)聲明：本文為CSDN博主「吃素的施子」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權(quán)協(xié)議，轉(zhuǎn)載請附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/feikudai8460/article/details/116237433

查看惡意程序中關(guān)于pdb中的內(nèi)容

strings executable.3720.exe| grep pdb

?我們看到他在hidden-tear目錄下，百度一下，發(fā)現(xiàn)這是個勒索軟件為HiddenTear，直接在網(wǎng)上找到解密程序HiddenTearDecrypter

目前

需要解密文件：flag.bat

解密軟件：HiddenTearDecrypter

解密密碼：aDOBofVYUNVnmp7

提前查看flag.bat

hexdump -C flag.dat

?看見此文件后面好多0，于是我們刪去（方便解密），而且把flag.bat后綴改為flag.png.locked，只有這樣才能讓解密軟件識別到，話不多說上命令。

tr < flag.dat -d '\000' > flag2.png.locked

?打開解密軟件，點擊select Directory，選擇flag.png.locked放置的目錄

?輸入解密密碼：aDOBofVYUNVnmp7? ?提示解密成功

?此時會自動將目錄下的flag.png.locked轉(zhuǎn)換成flag.png

?直接打開是打不開的，我們借助winhex工具打開，發(fā)現(xiàn)flag

flag:CTF{Im_Th@_B3S7_RicK_0f_Th3m_4ll}

至此OtterCTF內(nèi)存取證的題就搞定了

總結(jié)

這個靶場的題目我覺得特別好，主要就是學(xué)習(xí)volatility工具和取證思維方式。

以下是volatility工具的使用方法，可供參考。

Volatility Foundation Volatility Framework 2.6
用法： Volatility - 內(nèi)存取證分析平臺
 
Options:
  -h, --help            列出所有可用選項及其默認值
                        默認值可以在配置文件中設(shè)置
                        (/etc/volatilityrc)
  --conf-file=/home/kali/.volatilityrc
                        基于用戶的配置文件
  -d, --debug           調(diào)試Volatility
  --plugins=PLUGINS     要使用的其他插件目錄（冒號分隔）
  --info                打印所有注冊對象的信息
  --cache-directory=/home/kali/.cache/volatility
                        存放緩存文件的目錄
  --cache               使用緩存
  --tz=TZ               設(shè)置 (Olson) 時區(qū)以使用 pytz（如果已安裝）或 tzset 顯示時間戳
  -f FILENAME, --filename=FILENAME
                        打開圖像時使用的文件名
  --profile=WinXPSP2x86
                        要加載的配置文件的名稱（使用 --info 查看支持的配置文件列表）
  -l LOCATION, --location=LOCATION
                        從中加載地址空間的 URN 位置
  -w, --write           啟用寫支持
  --dtb=DTB             DTB 地址
  --shift=SHIFT         Mac KASLR 移位地址
  --output=text         以這種格式輸出（支持特定于模塊，請參閱下面的模塊輸出選項）
  --output-file=OUTPUT_FILE
                        在此文件中寫入輸出
  -v, --verbose         詳細信息
  -g KDBG, --kdbg=KDBG  指定一個 KDBG 虛擬地址（注意：對于 64 位 Windows 8 及更高版本，這是 KdCopyDataBlock 的地址）
  --force               強制使用可疑配置文件
  -k KPCR, --kpcr=KPCR  指定特定的 KPCR 地址
  --cookie=COOKIE       指定 nt!ObHeaderCookie 的地址（僅適用于 Windows 10）
 
	支持的插件命令:
 
		amcache        	查看AmCache應(yīng)用程序痕跡信息
		apihooks       	檢測內(nèi)核及進程的內(nèi)存空間中的API hook
		atoms          	列出會話及窗口站atom表
		atomscan       	Atom表的池掃描(Pool scanner)
		auditpol       	列出注冊表HKLMSECURITYPolicyPolAdtEv的審計策略信息
		bigpools       	使用BigPagePoolScanner轉(zhuǎn)儲大分頁池(big page pools)
		bioskbd        	從實時模式內(nèi)存中讀取鍵盤緩沖數(shù)據(jù)(早期電腦可以讀取出BIOS開機密碼)
		cachedump      	獲取內(nèi)存中緩存的域帳號的密碼哈希
		callbacks      	打印全系統(tǒng)通知例程
		clipboard      	提取Windows剪貼板中的內(nèi)容
		cmdline        	顯示進程命令行參數(shù)
		cmdscan        	提取執(zhí)行的命令行歷史記錄（掃描_COMMAND_HISTORY信息）
		connections    	打印系統(tǒng)打開的網(wǎng)絡(luò)連接(僅支持Windows XP 和2003)
		connscan       	打印TCP連接信息
		consoles       	提取執(zhí)行的命令行歷史記錄（掃描_CONSOLE_INFORMATION信息）
		crashinfo      	提取崩潰轉(zhuǎn)儲信息
		deskscan       	tagDESKTOP池掃描(Poolscaner)
		devicetree     	顯示設(shè)備樹信息
		dlldump        	從進程地址空間轉(zhuǎn)儲動態(tài)鏈接庫
		dlllist        	打印每個進程加載的動態(tài)鏈接庫列表
		driverirp      	IRP hook驅(qū)動檢測
		drivermodule   	關(guān)聯(lián)驅(qū)動對象至內(nèi)核模塊
		driverscan     	驅(qū)動對象池掃描
		dumpcerts      	提取RAS私鑰及SSL公鑰
		dumpfiles      	提取內(nèi)存中映射或緩存的文件
		dumpregistry   	轉(zhuǎn)儲內(nèi)存中注冊表信息至磁盤
		editbox        	查看Edit編輯控件信息 (Listbox正在實驗中)
		envars         	顯示進程的環(huán)境變量
		eventhooks     	打印Windows事件hook詳細信息
		evtlogs        	提取Windows事件日志（僅支持XP/2003)
		filescan       	提取文件對象（file objects）池信息
		gahti          	轉(zhuǎn)儲用戶句柄（handle）類型信息
		gditimers      	打印已安裝的GDI計時器(timers)及回調(diào)(callbacks)
		gdt            	顯示全局描述符表(Global Deor Table)
		getservicesids 	獲取注冊表中的服務(wù)名稱并返回SID信息
		getsids        	打印每個進程的SID信息
		handles        	打印每個進程打開的句柄的列表
		hashdump       	轉(zhuǎn)儲內(nèi)存中的Windows帳戶密碼哈希(LM/NTLM)
		hibinfo        	轉(zhuǎn)儲休眠文件信息
		hivedump       	打印注冊表配置單元信息
		hivelist       	打印注冊表配置單元列表
		hivescan       	注冊表配置單元池掃描
		hpakextract    	從HPAK文件（Fast Dump格式）提取物理內(nèi)存數(shù)據(jù)
		hpakinfo       	查看HPAK文件屬性及相關(guān)信息
		idt            	顯示中斷描述符表(Interrupt Deor Table)
		iehistory      	重建IE緩存及訪問歷史記錄
		imagecopy      	將物理地址空間導(dǎo)出原生DD鏡像文件
		imageinfo      	查看/識別鏡像信息
		impscan        	掃描對導(dǎo)入函數(shù)的調(diào)用
		joblinks       	打印進程任務(wù)鏈接信息
		kdbgscan       	搜索和轉(zhuǎn)儲潛在KDBG值
		kpcrscan       	搜索和轉(zhuǎn)儲潛在KPCR值
		ldrmodules     	檢測未鏈接的動態(tài)鏈接DLL
		lsadump        	從注冊表中提取LSA密鑰信息（已解密）
		machoinfo      	轉(zhuǎn)儲Mach-O 文件格式信息
		malfind        	查找隱藏的和插入的代碼
		mbrparser      	掃描并解析潛在的主引導(dǎo)記錄(MBR)
		memdump        	轉(zhuǎn)儲進程的可尋址內(nèi)存
		memmap         	打印內(nèi)存映射
		messagehooks   	桌面和窗口消息鉤子的線程列表
		mftparser      	掃描并解析潛在的MFT條目
		moddump        	轉(zhuǎn)儲內(nèi)核驅(qū)動程序到可執(zhí)行文件的示例
		modscan        	內(nèi)核模塊池掃描
		modules        	打印加載模塊的列表
		multiscan      	批量掃描各種對象
		mutantscan     	對互斥對象池掃描
		notepad        	查看記事本當(dāng)前顯示的文本
		objtypescan    	掃描窗口對象類型對象
		patcher        	基于頁面掃描的補丁程序內(nèi)存
		poolpeek       	可配置的池掃描器插件
		printkey       	打印注冊表項及其子項和值
		privs          	顯示進程權(quán)限
		procdump       	進程轉(zhuǎn)儲到一個可執(zhí)行文件示例
		pslist         	按照EPROCESS列表打印所有正在運行的進程
		psscan         	進程對象池掃描
		pstree         	以樹型方式打印進程列表
		psxview        	查找?guī)в须[藏進程的所有進程列表
		qemuinfo       	轉(zhuǎn)儲 Qemu 信息
		raw2dmp        	將物理內(nèi)存原生數(shù)據(jù)轉(zhuǎn)換為windbg崩潰轉(zhuǎn)儲格式
		screenshot     	基于GDI Windows的虛擬屏幕截圖保存
		servicediff    	Windows服務(wù)列表(ala Plugx)
		sessions       	_MM_SESSION_SPACE的詳細信息列表(用戶登錄會話)
		shellbags      	打印Shellbags信息
		shimcache      	解析應(yīng)用程序兼容性Shim緩存注冊表項
		shutdowntime   	從內(nèi)存中的注冊表信息獲取機器關(guān)機時間
		sockets        	打印已打開套接字列表
		sockscan       	TCP套接字對象池掃描
		ssdt           	顯示SSDT條目
		strings        	物理到虛擬地址的偏移匹配(需要一些時間，帶詳細信息)
		svcscan        	Windows服務(wù)列表掃描
		symlinkscan    	符號鏈接對象池掃描
		thrdscan       	線程對象池掃描
		threads        	調(diào)查_ETHREAD 和_KTHREADs
		timeliner      	創(chuàng)建內(nèi)存中的各種痕跡信息的時間線
		timers         	打印內(nèi)核計時器及關(guān)聯(lián)模塊的DPC
		truecryptmaster	Recover 	恢復(fù)TrueCrypt 7.1a主密鑰
		truecryptpassphrase		查找并提取TrueCrypt密碼
		truecryptsummary	TrueCrypt摘要信息
		unloadedmodules	打印卸載的模塊信息列表
		userassist     	打印注冊表中UserAssist相關(guān)信息
		userhandles    	轉(zhuǎn)儲用戶句柄表
		vaddump        	轉(zhuǎn)儲VAD數(shù)據(jù)為文件
		vadinfo        	轉(zhuǎn)儲VAD信息
		vadtree        	以樹形方式顯示VAD樹信息
		vadwalk        	顯示遍歷VAD樹
		vboxinfo       	轉(zhuǎn)儲Virtualbox信息（虛擬機）
		verinfo        	打印PE鏡像中的版本信息
		vmwareinfo     	轉(zhuǎn)儲VMware VMSS/VMSN 信息
		volshell       	內(nèi)存鏡像中的shell
		windows        	打印桌面窗口(詳細信息)
		wintree        	Z順序打印桌面窗口樹
		wndscan        	池掃描窗口站
		yarascan       	以Yara簽名掃描進程或內(nèi)核內(nèi)存

第一次記錄長篇的做題思路，寫的不是很好，請多多包涵。文章來源地址http://www.zghlxwxcb.cn/news/detail-720825.html

到了這里，關(guān)于OtterCTF—內(nèi)存取證wp的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！