背景:作為信息安全技術(shù)人員必須能夠掌握內(nèi)容鏡像分析、重要數(shù)據(jù)恢復(fù)、 惡意文件分析等相關(guān)技能,利用這些技能我們能夠第一時(shí)間分析相關(guān)惡意文件、 分析蛛絲馬跡幫助我們更好的完成應(yīng)急響應(yīng)工作。 應(yīng)急響應(yīng)階段題目主要包含:Windows 內(nèi)存鏡像分析,Linux 內(nèi)存鏡像分析, 磁盤文件恢復(fù),惡意程序分析等內(nèi)容。
項(xiàng)目 1. 內(nèi)存鏡像分析
任務(wù)一 Windows 內(nèi)存鏡像分析?
你作為 A 公司的應(yīng)急響應(yīng)人員,請(qǐng)分析提供的內(nèi)存文件按照下面的要求找到 相關(guān)關(guān)鍵信息,完成應(yīng)急響應(yīng)事件。
1、從內(nèi)存中獲取到用戶admin的密碼并且破解密碼,以Flag{admin,password} 形式提交(密碼為 6 位);? ?
//列舉用戶及密碼
//volatility -f 1.vmem --profile=Win7SP1x86 printkey -K"SAM\Domains\Account\Users\Names"
//從內(nèi)存中獲取密碼哈希
//volatility -f 1.vmem? --profile=Win7SP1x86 hivelist?
//從內(nèi)存中獲取密碼哈希
volatility -f 1.vmem ?--profile=Win7SP1x86 hashdump ?(可以跟-f 也可以跟sam system的進(jìn)程)
//嘗試?yán)镁W(wǎng)站解密 解不開(kāi)
md5:29fb61bd2963b1975cf435a2565af910
mimikatz插件也可以
使用自帶的工具
volatility -f 1.vmem --profile=Win7SP1x64 lsadump?
得到md5? ?406990ff88f13dac3c9debbc0769588c 這個(gè)也是答案![]()
flag{admin.dfsddew}
2、獲取當(dāng)前系統(tǒng) ip 地址及主機(jī)名,以 Flag{ip:主機(jī)名}形式提交;
volatility -f 1.vmem --profile=Win7SP1x64 hivelist 查看注冊(cè)表?
volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey
volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"??
?答案? WIN-9FBAEH4UV8C
volatility -f 1.vmem --profile=Win7SP1x64 netscan ? ? (獲取IP地址)答案?192.168.85.129
????????flag{192.168.85.129:WIN-9FBAEH4UV8C}
3、獲取當(dāng)前系統(tǒng)瀏覽器搜索過(guò)的關(guān)鍵詞,作為 Flag 提交;
volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 iehistory
?flag{admin@file:///C:/Users/admin/Desktop/flag.txt}
4、當(dāng)前系統(tǒng)中存在挖礦進(jìn)程,請(qǐng)獲取指向的礦池地址,以 Flag{ip:端口}形式 提交;
volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 netscan?
?flag{54.36.109.161:2222}
5、惡意進(jìn)程在系統(tǒng)中注冊(cè)了服務(wù),請(qǐng)將服務(wù)名以 Flag{服務(wù)名}形式提交。
上題已經(jīng)看到進(jìn)程
volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 pslist -p 2588
再查看服務(wù)
volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 svcscan
?flag{VMnetDHCP}
參考
內(nèi)存取證-volatility工具的使用_baynk的博客-CSDN博客_volatility工具
一篇適用于本人電腦的kali機(jī)volatility取證教程
內(nèi)存-進(jìn)程取證
前期知識(shí):
pslist顯示進(jìn)程? ? ? ? cmdscan顯示cmd歷史命令
memdump -p 332 -D XX/ 提取進(jìn)程? ?-p 進(jìn)程號(hào) -D 當(dāng)前輸出路徑(導(dǎo)出為332.dmp)
????????dump出來(lái)的進(jìn)程文件,可以使用 foremost 來(lái)分離里面的文件,用 binwak -e 不推薦
strings -e l 2040.dmp | grep flag 查找flag
使用hivelist
查看注冊(cè)表
1.從內(nèi)存文件中找到異常程序的進(jìn)程,將進(jìn)程的名稱作為Flag值提交;
pstree查看進(jìn)程樹(shù)? 3720 這個(gè)進(jìn)程PPID比PID還大。
DLL? dlllist -p?查看一下這個(gè)進(jìn)程的查看一下這個(gè)進(jìn)程的DLL,發(fā)現(xiàn)程序是在temp目錄下執(zhí)行的,那這個(gè)應(yīng)該就是惡意軟件進(jìn)程了。
flag{3720}
2.從內(nèi)存文件中找到黑客將異常程序遷移后的進(jìn)程編號(hào),將遷移后的進(jìn)程編號(hào)作為Flag值提交;
?通過(guò)*.exe的pid *
查看一下網(wǎng)絡(luò)連接,注意因?yàn)檫@個(gè)版本為2003所以無(wú)法使用netscan只能使用connections
?發(fā)現(xiàn)可疑test進(jìn)程的pid 并且響應(yīng)的ip地址與剩下兩個(gè)進(jìn)程相同,判斷為遷移后的進(jìn)程編號(hào)
3.從內(nèi)存文件中找到受害者訪問(wèn)的網(wǎng)站惡意鏈接,將網(wǎng)站的惡意鏈接作為Flag值提交;
ehistory 歷史記錄
4.從內(nèi)存文件中找到異常程序植入到系統(tǒng)的開(kāi)機(jī)自啟痕跡,使用Volatility工具分析出異常程序在注冊(cè)表中植入的開(kāi)機(jī)自啟項(xiàng)的Virtual地址,將Virtual地址作為Flag值提交;
查看注冊(cè)表hivelist
0xe171b008就是虛擬內(nèi)存
0x1d73e008 \Device\HarddiskVolume1\WINDOWS\system32\config\software?
解析是否存在開(kāi)機(jī)自啟項(xiàng):
-o 0xe200f830 printkey
發(fā)現(xiàn)了windows注冊(cè)表,接著訪問(wèn)windows下的注冊(cè)表
?-o 0xe171b008 printkey -K "Microsoft\windows"
??-o 0xe171b008 printkey -K "Microsoft\windows\CurrentVersion\Run"
5.從內(nèi)存文件中找到異常程序植入到系統(tǒng)的開(kāi)機(jī)自啟痕跡,將啟動(dòng)項(xiàng)最后一次更新的時(shí)間作為Flag值(只提交年月日,例如:20210314)提交。
shimcache
文章來(lái)源:http://www.zghlxwxcb.cn/news/detail-790558.html
參考:?記錄一次內(nèi)存取證_恰恰想學(xué)習(xí)的博客-CSDN博客文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-790558.html
到了這里,關(guān)于金磚技能大賽-應(yīng)急響應(yīng)-內(nèi)存鏡像分析-進(jìn)程分析的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!