国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

金磚技能大賽-應(yīng)急響應(yīng)-內(nèi)存鏡像分析-進(jìn)程分析

這篇具有很好參考價(jià)值的文章主要介紹了金磚技能大賽-應(yīng)急響應(yīng)-內(nèi)存鏡像分析-進(jìn)程分析。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

背景:作為信息安全技術(shù)人員必須能夠掌握內(nèi)容鏡像分析、重要數(shù)據(jù)恢復(fù)、 惡意文件分析等相關(guān)技能,利用這些技能我們能夠第一時(shí)間分析相關(guān)惡意文件、 分析蛛絲馬跡幫助我們更好的完成應(yīng)急響應(yīng)工作。 應(yīng)急響應(yīng)階段題目主要包含:Windows 內(nèi)存鏡像分析,Linux 內(nèi)存鏡像分析, 磁盤文件恢復(fù),惡意程序分析等內(nèi)容。

項(xiàng)目 1. 內(nèi)存鏡像分析

任務(wù)一 Windows 內(nèi)存鏡像分析?

你作為 A 公司的應(yīng)急響應(yīng)人員,請(qǐng)分析提供的內(nèi)存文件按照下面的要求找到 相關(guān)關(guān)鍵信息,完成應(yīng)急響應(yīng)事件。

1、從內(nèi)存中獲取到用戶admin的密碼并且破解密碼,以Flag{admin,password} 形式提交(密碼為 6 位);? ?

//列舉用戶及密碼
//volatility -f 1.vmem --profile=Win7SP1x86 printkey -K"SAM\Domains\Account\Users\Names"
//從內(nèi)存中獲取密碼哈希
//volatility -f 1.vmem? --profile=Win7SP1x86 hivelist?
//從內(nèi)存中獲取密碼哈希
volatility -f 1.vmem ?--profile=Win7SP1x86 hashdump ?(可以跟-f 也可以跟sam system的進(jìn)程)
//嘗試?yán)镁W(wǎng)站解密 解不開(kāi)
md5:29fb61bd2963b1975cf435a2565af910
mimikatz插件也可以
使用自帶的工具
volatility -f 1.vmem --profile=Win7SP1x64 lsadump?
分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全
得到md5? ?406990ff88f13dac3c9debbc0769588c 這個(gè)也是答案 分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

flag{admin.dfsddew}

2、獲取當(dāng)前系統(tǒng) ip 地址及主機(jī)名,以 Flag{ip:主機(jī)名}形式提交;

volatility -f 1.vmem --profile=Win7SP1x64 hivelist 查看注冊(cè)表?

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

volatility -f 1.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"??

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

?答案? WIN-9FBAEH4UV8C
volatility -f 1.vmem --profile=Win7SP1x64 netscan ? ? (獲取IP地址)
分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

答案?192.168.85.129

????????flag{192.168.85.129:WIN-9FBAEH4UV8C}

3、獲取當(dāng)前系統(tǒng)瀏覽器搜索過(guò)的關(guān)鍵詞,作為 Flag 提交;

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 iehistory

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

?flag{admin@file:///C:/Users/admin/Desktop/flag.txt}

4、當(dāng)前系統(tǒng)中存在挖礦進(jìn)程,請(qǐng)獲取指向的礦池地址,以 Flag{ip:端口}形式 提交;

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 netscan?

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

?flag{54.36.109.161:2222}

5、惡意進(jìn)程在系統(tǒng)中注冊(cè)了服務(wù),請(qǐng)將服務(wù)名以 Flag{服務(wù)名}形式提交。

上題已經(jīng)看到進(jìn)程

volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 pslist -p 2588

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

再查看服務(wù)
volatility_2.6_win64_standalone.exe -f worldskills3.vmem --profile=Win7SP1x64 svcscan

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

?flag{VMnetDHCP}

參考

內(nèi)存取證-volatility工具的使用_baynk的博客-CSDN博客_volatility工具

一篇適用于本人電腦的kali機(jī)volatility取證教程

內(nèi)存-進(jìn)程取證

前期知識(shí):

pslist顯示進(jìn)程? ? ? ? cmdscan顯示cmd歷史命令

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

memdump -p 332 -D XX/ 提取進(jìn)程? ?-p 進(jìn)程號(hào) -D 當(dāng)前輸出路徑(導(dǎo)出為332.dmp)

????????dump出來(lái)的進(jìn)程文件,可以使用 foremost 來(lái)分離里面的文件,用 binwak -e 不推薦

strings -e l 2040.dmp | grep flag 查找flag

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

使用hivelist查看注冊(cè)表

1.從內(nèi)存文件中找到異常程序的進(jìn)程,將進(jìn)程的名稱作為Flag值提交;

pstree查看進(jìn)程樹(shù)? 3720 這個(gè)進(jìn)程PPID比PID還大。

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

DLL? dlllist -p?查看一下這個(gè)進(jìn)程的查看一下這個(gè)進(jìn)程的DLL,發(fā)現(xiàn)程序是在temp目錄下執(zhí)行的,那這個(gè)應(yīng)該就是惡意軟件進(jìn)程了。

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

flag{3720}

2.從內(nèi)存文件中找到黑客將異常程序遷移后的進(jìn)程編號(hào),將遷移后的進(jìn)程編號(hào)作為Flag值提交;

?通過(guò)*.exe的pid *

查看一下網(wǎng)絡(luò)連接,注意因?yàn)檫@個(gè)版本為2003所以無(wú)法使用netscan只能使用connections分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

?發(fā)現(xiàn)可疑test進(jìn)程的pid 并且響應(yīng)的ip地址與剩下兩個(gè)進(jìn)程相同,判斷為遷移后的進(jìn)程編號(hào)

3.從內(nèi)存文件中找到受害者訪問(wèn)的網(wǎng)站惡意鏈接,將網(wǎng)站的惡意鏈接作為Flag值提交;

ehistory 歷史記錄

4.從內(nèi)存文件中找到異常程序植入到系統(tǒng)的開(kāi)機(jī)自啟痕跡,使用Volatility工具分析出異常程序在注冊(cè)表中植入的開(kāi)機(jī)自啟項(xiàng)的Virtual地址,將Virtual地址作為Flag值提交;

查看注冊(cè)表hivelist

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

0xe171b008就是虛擬內(nèi)存

0x1d73e008 \Device\HarddiskVolume1\WINDOWS\system32\config\software?

解析是否存在開(kāi)機(jī)自啟項(xiàng):

-o 0xe200f830 printkey

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

發(fā)現(xiàn)了windows注冊(cè)表,接著訪問(wèn)windows下的注冊(cè)表

?-o 0xe171b008 printkey -K "Microsoft\windows"
?

?-o 0xe171b008 printkey -K "Microsoft\windows\CurrentVersion\Run"

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

5.從內(nèi)存文件中找到異常程序植入到系統(tǒng)的開(kāi)機(jī)自啟痕跡,將啟動(dòng)項(xiàng)最后一次更新的時(shí)間作為Flag值(只提交年月日,例如:20210314)提交。

shimcache

分析內(nèi)存鏡像,將殺毒軟件服務(wù)名稱作為flag提交;,網(wǎng)絡(luò)安全CTF比賽,linux,網(wǎng)絡(luò)安全,安全

參考:?記錄一次內(nèi)存取證_恰恰想學(xué)習(xí)的博客-CSDN博客文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-790558.html

到了這里,關(guān)于金磚技能大賽-應(yīng)急響應(yīng)-內(nèi)存鏡像分析-進(jìn)程分析的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來(lái)自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 藍(lán)隊(duì)-應(yīng)急響應(yīng)-日志分析

    在日常藍(lán)隊(duì)進(jìn)行日志分析的時(shí)候,顯示將服務(wù)器主機(jī)日志全都收集起來(lái),然后將日志放到自動(dòng)識(shí)別腳本當(dāng)中,就能進(jìn)行自動(dòng)分析,最后將有異常的ip直接拉黑即可。 下面的工具講的是日志分析,是在攻擊者進(jìn)行攻擊之后才能發(fā)現(xiàn) #日志自動(dòng)提取腳本—— 七牛Logkit觀星應(yīng)急工具

    2024年02月11日
    瀏覽(24)
  • 第163天:應(yīng)急響應(yīng)-后門攻擊檢測(cè)指南&Rookit&內(nèi)存馬&權(quán)限維持&WIN&Linux
  • 應(yīng)急響應(yīng)實(shí)戰(zhàn)筆記02日志分析篇(5)

    應(yīng)急響應(yīng)實(shí)戰(zhàn)筆記02日志分析篇(5)

    常見(jiàn)的數(shù)據(jù)庫(kù)攻擊包括弱口令、SQL注入、提升權(quán)限、竊取備份等。對(duì)數(shù)據(jù)庫(kù)日志進(jìn)行分析,可以發(fā)現(xiàn)攻擊行為,進(jìn)一步還原攻擊場(chǎng)景及追溯攻擊源。 0x01 Mysql日志分析 general query log能記錄成功連接和每次執(zhí)行的查詢,我們可以將它用作安全布防的一部分,為故障分析或黑客事

    2024年02月21日
    瀏覽(25)
  • 【安全服務(wù)】應(yīng)急響應(yīng)1:流程、排查與分析

    【安全服務(wù)】應(yīng)急響應(yīng)1:流程、排查與分析

    目錄 一、應(yīng)急響應(yīng)流程 1 準(zhǔn)備階段 2 檢測(cè)階段 3 抑制階段 4 根除階段 5 恢復(fù)階段 6 總結(jié)階段 現(xiàn)場(chǎng)處置流程 二、系統(tǒng)排查 1、系統(tǒng)信息 2、用戶信息 3 啟動(dòng)項(xiàng) 4?任務(wù)計(jì)劃 5 其他:Windows防火墻規(guī)則 ?三、進(jìn)程排查 1 windows 1.1 任務(wù)管理器 1.2 cmd tasklist 1.3 查看正在進(jìn)行網(wǎng)絡(luò)連接的進(jìn)

    2024年02月08日
    瀏覽(19)
  • 某次鎖倉(cāng)合約應(yīng)急響應(yīng)分析記錄

    某次鎖倉(cāng)合約應(yīng)急響應(yīng)分析記錄

    在之前的一次應(yīng)急響應(yīng)中有客戶反饋某合約在上X幣交易所的時(shí)候,按照交易所的要求曾找人寫了鎖倉(cāng)合約并完成了2.5億某代幣的鎖倉(cāng)操作,本來(lái)應(yīng)該是三個(gè)月解鎖一次,兩年解鎖完畢,然而一年快過(guò)去了,一筆解鎖款都沒(méi)有收到,客戶感到很是費(fèi)解,這和預(yù)期的有很大的差入

    2024年04月12日
    瀏覽(28)
  • 【W(wǎng)indows應(yīng)急響應(yīng)】HW藍(lán)隊(duì)必備——開(kāi)機(jī)啟動(dòng)項(xiàng)、臨時(shí)文件、進(jìn)程排查、計(jì)劃任務(wù)排查、注冊(cè)表排查、惡意進(jìn)程查殺、隱藏賬戶、webshell查殺等

    【W(wǎng)indows應(yīng)急響應(yīng)】HW藍(lán)隊(duì)必備——開(kāi)機(jī)啟動(dòng)項(xiàng)、臨時(shí)文件、進(jìn)程排查、計(jì)劃任務(wù)排查、注冊(cè)表排查、惡意進(jìn)程查殺、隱藏賬戶、webshell查殺等

    近年來(lái)信息安全事件頻發(fā),信息安全的技能、人才需求大增?,F(xiàn)在,不管是普通的企業(yè),還是專業(yè)的安全廠商,都不可避免的需要掌握和運(yùn)用好信息安全的知識(shí)、技能,以便在需要的時(shí)候,能夠御敵千里。所謂養(yǎng)兵千日,用兵一時(shí),擁有一支完善的團(tuán)隊(duì)或完整的流程,可以保

    2024年02月02日
    瀏覽(26)
  • 應(yīng)急響應(yīng)之windows日志分析工具logparser使用

    目錄 一、logparser簡(jiǎn)介 (一)logparser介紹 (二)下載鏈接 二、logparser安裝 三、基本查詢結(jié)構(gòu) 四、使用Log Parser分析日志 (一)查詢登錄成功的事件 1. 登錄成功的所有事件 2. 指定登錄時(shí)間范圍的事件 (二)提取登錄成功的用戶名和IP (三)查詢登錄失敗的事件 1. 登錄失敗的

    2023年04月09日
    瀏覽(24)
  • 2023第七屆金磚大賽之企業(yè)信息系統(tǒng)安全預(yù)賽任務(wù)書

    目錄 任務(wù)一:iptables防護(hù) 任務(wù)二:FTP流量分析 任務(wù)三:Web2服務(wù)器:Find MSG ?????? 攻擊機(jī)場(chǎng)景:Kali2018 Kali2021 ?????? 靶機(jī)場(chǎng)景:System0002 描述:A集團(tuán)欲上線一批網(wǎng)絡(luò)應(yīng)用服務(wù)器,為保障網(wǎng)絡(luò)應(yīng)用服務(wù)器的安全穩(wěn)定運(yùn)行,在服務(wù)器上線前需要根據(jù)業(yè)務(wù)需求,對(duì)網(wǎng)絡(luò)應(yīng)用服

    2024年02月08日
    瀏覽(38)
  • 應(yīng)急響應(yīng) - Windows啟動(dòng)項(xiàng)分析,Windows計(jì)劃任務(wù)分析,Windows服務(wù)分析

    應(yīng)急響應(yīng) - Windows啟動(dòng)項(xiàng)分析,Windows計(jì)劃任務(wù)分析,Windows服務(wù)分析

    「作者簡(jiǎn)介」: CSDN top100、阿里云博客專家、華為云享專家、網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者 「推薦專欄」: 對(duì)網(wǎng)絡(luò)安全感興趣的小伙伴可以關(guān)注專欄《網(wǎng)絡(luò)安全入門到精通》 很多惡意程序會(huì)把自己添加到系統(tǒng)啟動(dòng)項(xiàng)中,在開(kāi)機(jī)時(shí)自動(dòng)運(yùn)行。 msconfig是Windows自帶的系統(tǒng)配置實(shí)用程序

    2023年04月17日
    瀏覽(22)
  • 應(yīng)急響應(yīng) - Windows用戶分析,Windows隱藏賬號(hào)分析,Windows克隆賬號(hào)分析

    應(yīng)急響應(yīng) - Windows用戶分析,Windows隱藏賬號(hào)分析,Windows克隆賬號(hào)分析

    「作者簡(jiǎn)介」: CSDN top100、阿里云博客專家、華為云享專家、網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者 「推薦專欄」: 對(duì)網(wǎng)絡(luò)安全感興趣的小伙伴可以關(guān)注專欄《網(wǎng)絡(luò)安全入門到精通》 攻擊者通常會(huì)在服務(wù)器中創(chuàng)建用戶進(jìn)行維權(quán),查看是否有新增的可疑賬號(hào),核實(shí)后禁用或刪除。 cmd中,輸

    2023年04月22日
    瀏覽(24)

覺(jué)得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包