[ctf Misc][RoarCTF2019]forensic +内存取证

这题蛮鬼的,就,没有捷径,捷径导出文件一定是坏的

附件:mem.raw

[RoarCTF2019]forensic

1.volatility处理

λ volatility_2.6_win64_standalone.exe -f xxx7\Compressed\mem.raw imageinfo
Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (\Compressed\mem.raw)
                      PAE type : PAE
                           DTB : 0x185000L
                          KDBG : 0x81729be8L
          Number of Processors : 2
     Image Type (Service Pack) : 0
                KPCR for CPU 0 : 0x8172ac00L
                KPCR for CPU 1 : 0x807ec000L
             KUSER_SHARED_DATA : 0xffdf0000L
           Image date and time : 2019-09-16 13:55:23 UTC+0000
     Image local date and time : 2019-09-16 21:55:23 +0800

策略Win7SP1x86_23418,老规矩pslist+filescan

#pslist
volatility_2.6_win64_standalone.exe -f Downloads\Compressed\mem.raw --profile=Win 7SP1x86_23418 pslist>pslist.txt
#filescan
volatility_2.6_win64_standalone.exe -f Downloads\Compressed\mem.raw --profile=Win 7SP1x86_23418 filescan >file.txt

[ctf Misc][RoarCTF2019]forensic +内存取证_第1张图片

可疑进程:

0x8399f030 TrueCrypt.exe          3260   3072      9      434      1      0 2019-09-16 13:53:22 UTC+0000 
#本来以为是什么加密容器,傻乎乎想半天,后面没用到                                
0x8398dad8 notepad.exe            3524   1636      2       61      1      0 2019-09-16 13:53:51 UTC+0000                                 
0x839ce468 mspaint.exe            3620   1636      8      178      1      0 2019-09-16 13:53:57 UTC+0000                                                        
0x82a893f0 iexplore.exe           3700   1636     18      512      1      0 2019-09-16 13:54:03 UTC+0000                                 
0x82aacd40 iexplore.exe           3752   3700     31      621      1      0 2019-09-16 13:54:04 UTC+0000                                                       
0x82affb38 DumpIt.exe             3380   1636      2       39      1      0 2019-09-16 13:55:15 UTC+0000                                 
0x82aff848 conhost.exe            3204    428      2       52      1      0 2019-09-16 13:55:15 UTC+0000    

根据上面的进程做进一步信息搜集(iehistory+notepad(无用)+cmdscan
[ctf Misc][RoarCTF2019]forensic +内存取证_第2张图片
file:///C:/Users/lethal/Pictures/eh.png但是filescan里面没找到,我本来试着取证大师直接导出png后缀的
拿到了这图,以为是隐写整了半天
[ctf Misc][RoarCTF2019]forensic +内存取证_第3张图片

2.导出奇奇怪怪的文件

但其实应该去filescan结果里面找:

0x000000001efb29f8      8      0 R--r-d \Device\HarddiskVolume2\Users\lethal\Pictures\无标题.png

[ctf Misc][RoarCTF2019]forensic +内存取证_第4张图片
导出图片

volatility_2.6_win64_standalone.exe -f Downloads\Compressed\mem.raw --profile=Win 7SP1x86_23418 dumpfiles -Q 0x000000001efb29f8 -D ./

[ctf Misc][RoarCTF2019]forensic +内存取证_第5张图片
取证大师可以找到flag.zip,密码在上图:1YxfCQ6goYBD6Q
[ctf Misc][RoarCTF2019]forensic +内存取证_第6张图片
[ctf Misc][RoarCTF2019]forensic +内存取证_第7张图片

3.关于dumpit

这个是从大佬wp学到的,我本来看到dumpit,就只认为是:用dumpit打这题的内存镜像
而这题用dumpit打了不止一个镜像

取证大师恢复可以看到,最大的一个文件是$RDOSMHS.raw
[ctf Misc][RoarCTF2019]forensic +内存取证_第8张图片
这个文件没法正常导出,因为取证的时候dumpit.exe还在运行中,这个文件没有完全生成好,直接导出会发现后面都是00字节填充

这是要dump下来dumpit.exe的内存镜像

volatility_2.6_win64_standalone.exe -f Downloads\Compressed\mem.raw --profile=Win 7SP1x86_23418 memdump -p 3380 -D ./

然后分析内存镜像,得到flag.zip

[ctf Misc][RoarCTF2019]forensic +内存取证_第9张图片

参考链接:https://paper.seebug.org/1059/#forensic

你可能感兴趣的:(ctf,#,内存取证,windows,内存取证,取证,ctf,misc)