ez_mem&usb
用binwalk命令分离pcap,得到vmem镜像和2个zip(vmem镜像用volatility命令出问题了,搜了下,用mobaxterm上传也8行)
用wireshark打开pcap包,文件->导出http对象,保存最大的文件,在upload_file.php中发现PK,解压得到data.vmem
分析镜像:volatility -f data.vmem imageinfo
查看进程:volatility -f data.vmem --profile=WinXPSP2x86 pslist
查看cmd进程:volatility -f data.raw --profile=WinXPSP2x86 cmdscan
发现密码:
weak_auth_top100
dump 资源管理器进程:
volatility -f data.vmem --profile=WinXPSP2x86 memdump -p 1476 --dump-dir=./
对1476.dmp用binwalk和foremost命令,zip解压时出错
使用edibox插件:(我也不知道这是干啥的)
volatility editbox -f data.vmem --profile=WinXPSP2x86
用filescan命令筛选Administrator文件:
volatility -f data.vmem --profile=WinXPSP2x86 filescan | grep "Administrator"
dump flag.img :
volatility -f data.vmem --profile=WinXPSP2x86 dumpfiles -Q 0x0000000001155f90 --dump-dir=./
得到file.None.0xff425090.dat,用binwalk分离,解压zip时出错,再试foremost命令,得到usbdata.txt
隐藏的信息
二维码.png
把二维码.png放进stegsolve Xor,补全定位点,扫出结果是假的
strings 二维码.jpg
纯数字.zip
zip伪加密,听到wav最后有电话按键音,把wav音频放入audacity
在audicity中将前后2段剪取出来,再在Adobe Audition CS6中提高分贝
在http://dialabc.com/sound/detect/index.html这个网站可以自动识别
187485618521