题目链接:https://pan.baidu.com/s/18TASKSNA9HVqCfUV5wJ7NA 提取码:n3wf
任务一 获取admin用户密码是多少 ?
Volatility -f 文件名 --profile=Win7SP1x64 lsadump
任务(二) 获ip和主机名是什么?
Volatility -f 文件名 --profile=Win7SP1x64 netscan
Volatility -f 文件名 --profile=Win7SP1x64 hivelist
volatility -f worldskills3.vmem --profile=Win2008R2SP0x64 -o 0xfffff8a000024010 printkey -K "ControlSet001ControlComputerNameComputerName"
//0xfffff8a000024010 SYSTEM的虚拟地址
任务(三)获取桌面上的 flag.txt中的文件内容是什么
volatility -f worldskills3.vmem --profile=Win7SP1x64 filescan | grep flag
volatility -f worldskills3.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f1b6c10 --dump-dir=./
任务(四) 服务器中存在一个挖矿病毒 矿池地址是
volatility -f worldskills3.vmem --profile=Win2008R2SP0x64 netscan
任务(五)恶意代码在系统中注册了服务 服务名是什么?
volatility -f test.vmem --profile=Win7SP1x64 svcscan
(注:使用svcscan插件命令可打印出当前目标机器注册服务信息)
任务(六) 获取恶意代码的进程名pid。
Loader.exe父进程创建svchost.exe子进程
flag{svchost.exe+2588; loader.exe+3036}
任务(七) 病毒在自我删除时 执行的命令是什么?(病毒进入系统后会删除原始文件,请获取文件删除时执行的命令)
标准命令行:cmd.exe /C @ping -n 15 127.0.0.1&del path/file> nul