几道内存取证的题目拿来做一下。
[V&N2020 公开赛]内存取证
开局给了给了一个raw文件。
先看一下镜像文件的基本信息。
volatility -f mem.raw imageinfo
这步一般是为了得到文件的profile。
直接一点,搜一搜有没有名为flag的文件
volatility -f mem.raw --profile=Win7SP0x86 filescan | grep flag
看一看当时运行了哪些进程。
volatility -f mem.raw --profile=Win7SP0x86 pslist
0x83c0ad40 TrueCrypt.exe 3364 3188 7 388 1 0 2020-02-18 19:52:44 UTC+0000 0x837f5d40 notepad.exe 3552 1964 2 61 1 0 2020-02-18 19:53:07 UTC+0000 0x82a7e568 iexplore.exe 3640 1964 16 468 1 0 2020-02-18 19:53:29 UTC+0000 0x847c8030 iexplore.exe 3696 3640 25 610 1 0 2020-02-18 19:53:29 UTC+0000 0x848a7030 mspaint.exe 2648 1964 18 383 1 0 2020-02-18 19:54:01 UTC+0000
发现几个比较关键的应用,notepad是文本编辑器,iexplore是ie浏览器,mspaint是xp系统自带的画板。TrueCrypt是一款免费,开源的支持Windows Vista/XP/2000 and Linux的绿色虚拟加密磁盘工具,可以在硬盘上创建一个或多个虚拟磁盘,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。 TrueCrypt提供多种加密算法,如AES-256、Blowfish(448-bitkey)、CAST5、Serpent、Triple DES等,其他特性还包括支持FAT32和NTFS分区、隐藏卷标和热键启动。
先看一下ie浏览器记录。
volatility -f mem.raw --profile=Win7SP0x86 iehistory | grep 'https://'
比较显眼就是访问了百度网盘,当我访问的时候发现分享的文件已经被取消了,但是在buu上面附件还是给了,一个OVL文件。
看一下文本编辑器写了些什么。
volatility -f mem.raw --profile=Win7SP0x86 editbox
还是指向百度网盘,并且有这次有提取码。
接下来看一下mspaint里面有什么,通过pid把这块的内存dump下来。
volatility -f mem.raw --profile=Win7SP0x86 memdump -p 2648 --dump-dir=./
将2648.dmp的后缀改成data,然后用gimp打开,通过调整位移、高度、宽度来尝试还原图片。
先将高度拉到和画板一样高,长度盲猜1440,然后慢慢调位移。
当发现有字母显示出来了,就别动位移了,慢慢调整宽度。
截图放到word里面,垂直翻转,识别一下字母。
但是这个字符串并不是flag。
接下来就是TrueCrypt这个软件了,现在大概思路就出来了,OVL是用TrueCrypt来加密后的一个磁盘,现在需要对这个磁盘进行解密。
在解密前先把TrueCrypt像dump mspaint一样把那块内存dump下来。
解密需要用到一个软件叫Elcomsoft Forensic Disk Decryptor,可以用来破解这个磁盘文件的key值。
上面选择加密后的磁盘文件,下面选择dump出来的内存。
点成Unmount,在自己电脑的E盘发现key(其实我电脑本身是没有E盘的,这里是临时分区出这个盘放key值的)
知道了key值,接下来用VeraCrypt挂载一下。
发现flag文件,压缩包是加密的。还记得上面搞出来的字符串吗?
解压出来就看到flag了。
BMZCTF 内存取证三项
题目内容:
一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑也不管自己在电脑上留下的操作急忙离开电脑,故作淡定的说:“我就是随便看看”。
1.小黑写的啥,据说是flag?
2.那么问题来了,小白的密码是啥?
3.小黑发送的机密文件里面到底是什么
还是给了一个镜像文件,第一步先查看镜像的基本信息。
volatility -f mem.raw imageinfo
知道profile之后,扫描一下有没有带有flag字样的文件。
没扫到任何东西,扫一下进程。
0xff5ee020 notepad.exe 280 1416 1 50 0 0 2016-11-14 12:20:27 UTC+0000 0xff5c5020 cmd.exe 1568 1416 1 34 0 0 2016-11-14 12:23:34 UTC+0000
发现了两个比较可疑的进程,一个是notepad,一个是cmd。
先看一下笔记本记录了些什么内容。
volatility -f mem.raw Profile=WinXPSP2x86 editbox
发现了一串16进制的字符串,太熟悉了。
666C61677B57336C6563306D655F376F5F466F72336E356963737D
666c6167,是flag的16进制的ascii码对应的值。16进制转字符串,出现第一个flag。
flag{W3lec0me_7o_For3n5ics}
根据题目要求,第二个是要知道小白电脑的开锁密码,获取内存中的系统密码,我们可以使用 hashdump 将它提取出来 。
volatility -f mem.raw –profile=WinXPSP2x86 hashdump
Volatility Foundation Volatility Framework 2.5 Administrator:500:1e27e87bd14ec8af43714428b303e3e4:1e581aafa474dfadfdf83fc31e4fd4ea::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: HelpAssistant:1000:687255e91a0f559b6d75553dbd51f785:b6125736bdd2d5f154fdce59f52e39f1::: SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:fb41f8d1334fba131974c39bfab09512:::
这里1e581aafa474dfadfdf83fc31e4fd4ea其实就是开锁密码的hash之后的密文。
怎么破解出来的,网上的师傅们都是跑什么彩虹表,我就不研究了。感觉是出题人没考虑好,因为这个密文解不出来,很难受,就硬考字典全?第三问其实也给了提示。
看一下cmd执行过哪些命令。
volatility -f mem.raw Profile=WinXPSP2x86 cmdscan
向另一台主机发送了一个压缩包,先找到这个压缩包。
volatility -f mem.raw Profile=WinXPSP2x86 filescan | grep 'P@ss'
把这个文件dump下来。
volatility -f mem.raw Profile=WinXPSP2x86 dumpfiles -Q 0x0000000002c61318 -D ./
file之后发现是zip格式的压缩包,被加密,根据上面的hint,密码是生日,那就是8位纯数字的密码,用压缩包爆破工具爆破一下。
压缩包里面就是flag。
