背景：作為信息安全技術(shù)人員必須能夠掌握內(nèi)容鏡像分析、重要數(shù)據(jù)恢復(fù)、 惡意文件分析等相關(guān)技能，利用這些技能我們能夠第一時(shí)間分析相關(guān)惡意文件、 分析蛛絲馬跡幫助我們更好的完成應(yīng)急響應(yīng)工作。 應(yīng)急響應(yīng)階段題目主要包含：Windows 內(nèi)存鏡像分析，Linux 內(nèi)存鏡像分析， 磁盤文件恢復(fù)，惡意程序分析等內(nèi)容。

項(xiàng)目 1. 內(nèi)存鏡像分析

任務(wù)一 Windows 內(nèi)存鏡像分析?

你作為 A 公司的應(yīng)急響應(yīng)人員，請(qǐng)分析提供的內(nèi)存文件按照下面的要求找到 相關(guān)關(guān)鍵信息，完成應(yīng)急響應(yīng)事件。

1、從內(nèi)存中獲取到用戶admin的密碼并且破解密碼，以Flag{admin,password} 形式提交(密碼為 6 位)；? ?

//列舉用戶及密碼
//volatility -f 1.vmem --profile=Win7SP1x86 printkey -K"SAM\Domains\Account\Users\Names"
//從內(nèi)存中獲取密碼哈希
//volatility -f 1.vmem? --profile=Win7SP1x86 hivelist?
//從內(nèi)存中獲取密碼哈希
volatility -f 1.vmem ?--profile=Win7SP1x86 hashdump ?(可以跟-f 也可以跟sam system的進(jìn)程)
//嘗試?yán)镁W(wǎng)站解密 解不開(kāi)
md5：29fb61bd2963b1975cf435a2565af910

mimikatz插件也可以
使用自帶的工具
volatility -f 1.vmem --profile=Win7SP1x64 lsadump?

得到md5? ?406990ff88f13dac3c9debbc0769588c 這個(gè)也是答案

flag{admin.dfsddew}

2、獲取當(dāng)前系統(tǒng) ip 地址及主機(jī)名，以 Flag{ip:主機(jī)名}形式提交；

volatility -f 1.vmem --profile=Win7SP1x64 hivelist 查看注冊(cè)表?

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"??

?答案? WIN-9FBAEH4UV8C
volatility -f 1.vmem --profile=Win7SP1x64 netscan ? ? (獲取IP地址)

答案?192.168.85.129

????????flag{192.168.85.129:WIN-9FBAEH4UV8C}

3、獲取當(dāng)前系統(tǒng)瀏覽器搜索過(guò)的關(guān)鍵詞，作為 Flag 提交；

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 iehistory

?flag{admin@file:///C:/Users/admin/Desktop/flag.txt}

4、當(dāng)前系統(tǒng)中存在挖礦進(jìn)程，請(qǐng)獲取指向的礦池地址，以 Flag{ip:端口}形式 提交；

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 netscan?

?flag{54.36.109.161:2222}

5、惡意進(jìn)程在系統(tǒng)中注冊(cè)了服務(wù)，請(qǐng)將服務(wù)名以 Flag{服務(wù)名}形式提交。

上題已經(jīng)看到進(jìn)程

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 pslist -p 2588

再查看服務(wù)
volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 svcscan

?flag{VMnetDHCP}

參考

內(nèi)存取證-volatility工具的使用_baynk的博客-CSDN博客_volatility工具

一篇適用于本人電腦的kali機(jī)volatility取證教程

內(nèi)存-進(jìn)程取證

前期知識(shí)：

pslist顯示進(jìn)程? ? ? ? cmdscan顯示cmd歷史命令

memdump -p 332 -D XX/ 提取進(jìn)程? ?-p 進(jìn)程號(hào) -D 當(dāng)前輸出路徑（導(dǎo)出為332.dmp）

????????dump出來(lái)的進(jìn)程文件，可以使用 foremost 來(lái)分離里面的文件，用 binwak -e 不推薦

strings -e l 2040.dmp | grep flag 查找flag

使用hivelist查看注冊(cè)表

1.從內(nèi)存文件中找到異常程序的進(jìn)程，將進(jìn)程的名稱作為Flag值提交；

pstree查看進(jìn)程樹(shù)? 3720 這個(gè)進(jìn)程PPID比PID還大。

DLL? dlllist -p?查看一下這個(gè)進(jìn)程的查看一下這個(gè)進(jìn)程的DLL，發(fā)現(xiàn)程序是在temp目錄下執(zhí)行的，那這個(gè)應(yīng)該就是惡意軟件進(jìn)程了。

flag{3720}

2.從內(nèi)存文件中找到黑客將異常程序遷移后的進(jìn)程編號(hào)，將遷移后的進(jìn)程編號(hào)作為Flag值提交；

?通過(guò)*.exe的pid *

查看一下網(wǎng)絡(luò)連接,注意因?yàn)檫@個(gè)版本為2003所以無(wú)法使用netscan只能使用connections

?發(fā)現(xiàn)可疑test進(jìn)程的pid 并且響應(yīng)的ip地址與剩下兩個(gè)進(jìn)程相同,判斷為遷移后的進(jìn)程編號(hào)

3.從內(nèi)存文件中找到受害者訪問(wèn)的網(wǎng)站惡意鏈接，將網(wǎng)站的惡意鏈接作為Flag值提交；

ehistory 歷史記錄

4.從內(nèi)存文件中找到異常程序植入到系統(tǒng)的開(kāi)機(jī)自啟痕跡，使用Volatility工具分析出異常程序在注冊(cè)表中植入的開(kāi)機(jī)自啟項(xiàng)的Virtual地址，將Virtual地址作為Flag值提交；

查看注冊(cè)表hivelist

0xe171b008就是虛擬內(nèi)存

0x1d73e008 \Device\HarddiskVolume1\WINDOWS\system32\config\software?

解析是否存在開(kāi)機(jī)自啟項(xiàng):

-o 0xe200f830 printkey

發(fā)現(xiàn)了windows注冊(cè)表,接著訪問(wèn)windows下的注冊(cè)表

?-o 0xe171b008 printkey -K "Microsoft\windows"
?

?-o 0xe171b008 printkey -K "Microsoft\windows\CurrentVersion\Run"

5.從內(nèi)存文件中找到異常程序植入到系統(tǒng)的開(kāi)機(jī)自啟痕跡，將啟動(dòng)項(xiàng)最后一次更新的時(shí)間作為Flag值（只提交年月日，例如：20210314）提交。

shimcache

參考：?記錄一次內(nèi)存取證_恰恰想學(xué)習(xí)的博客-CSDN博客文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-790558.html

到了這里，關(guān)于金磚技能大賽-應(yīng)急響應(yīng)-內(nèi)存鏡像分析-進(jìn)程分析的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！