ctf 内存取证的一些命令

内存取证

相当于给出镜像文件,一般为.raw文件,在这些文件中找出相应的文件

常用命令
在kali下用工具volatility,以湖湘杯的文件men.raw为例

  1. 查看系统信息
    volatility -f mem.raw imageinfo
    ctf 内存取证的一些命令_第1张图片
    如下显示的系统都有可能,可以一个个的试试

  2. 查看运行程序列表
    volatility -f mem.raw --profile=Win7SP1x64 pslist
    ctf 内存取证的一些命令_第2张图片

  3. 查看文件
    volatility -f mem.raw --profile=Win7SP1x64 filescan
    ctf 内存取证的一些命令_第3张图片
    一般文件会很多,不易查看,用grep命令过滤
    volatility -f mem.raw --profile=Win7SP1x64 filescan |grep txt
    ctf 内存取证的一些命令_第4张图片
    这里显示出了txt文件,下面将他们分离出来

  4. 提取文件
    volatility -f mem.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000001e7c3420 -D aaa
    -Q是偏移量,-D是存储的文件夹
    ctf 内存取证的一些命令_第5张图片

  5. 查看cmd下执行的文件
    volatility -f mem.raw --profile=Win7SP1x64 cmdscan
    ctf 内存取证的一些命令_第6张图片
    可以看到,flag已经被找到,不过出题人并没有将flag放在一个文件里,只是个文件 名,若是放在某个文件里,会加大我们的难度

  6. 分离出cmd下执行的某个文件
    volatility -f mem.raw --profile=Win7SP1x64 memdump -p 2884 -D aaa
    -p是进程号,flag的文件在进程号为2884,分离出的文件为流量包

    ctf 内存取证的一些命令_第7张图片
    好像用wireshark打不开,可以直接foremost一波,得到文件

  7. 提取账户密码
    volatility -f mem.raw --profile=Win7SP0x64 hashpump

  8. 查看网络连接
    volatility -f mem.raw --profile=Win7SP1x64 netscan
    ctf 内存取证的一些命令_第8张图片
    查看已经建立的网络连接
    volatility -f mem.raw --profile=Win7SP1x64 netscan|grep ESTABLISHED

你可能感兴趣的:(ctf)