记一次内存取证

第一问请提交内存中恶意进程的名称

先查看内存文件的系统

直接pslist查看

这个进程的仔细看，发现是proshe11，不是proshell，花园她的子进程就等于另一个父进程，都是嫌疑，别的没有啥，就它了

还有看到他父进程大于子进程的也是有嫌疑

powershe11.exe

第二问请提交恶意进程写⼊的⽂件名称（不含路径）

把恶意进程导出来查看

strings分析导入1.txt文件里面

太多了，我分析个狗屎，既然是写入文件，就看一下桌面文件，看一下常规的对象txt，jpg等等

框内都是vm虚拟机的，不用看，先看一下txt文件最可能被写入东西，到导出来查看

里面有内容，如果是被写入的话，在进程里面肯定也有写入内容的演示，复制下来在恶意进程里面搜索一下

果然有写入的，

hilyary.txt

第三问请提交admin账户的登录密码

看hash值，然后复制下来admin的那一段，拿去john爆破出来密码

先写入到一个txt文件

可是爆破她。

因为之前做题的时候已经爆破过一次了，所以要先删除john的缓存，不然在爆破就不显示密码

rm -rf ~/.john/john.pot        

成功爆出密码123456

4.请提交攻击者创建的账户名称

这是全部的用户，带有$的是隐藏以后，攻击者都行把用户隐藏，所以他的可能性挺大，但是他是一个家庭用户，不是黑客创建的。

之后黑客肯定不行想自己的用户在登录的时候被看到，所以就要看注册表，找登录时候不显示的用户

根据提示一步一步查看注册表，找到隐藏用户的地方

找到了

Price

5.请提交在桌⾯某⽂件中隐藏的flag信息，格式：flag{...}

这种可能性比较的大的分析就是看浏览器记录或者历史命令

看看桌面上也没有，把它导出来看看

然后strings分析配合grep查询

flag{welc0me_to_2023_chinaskills}
 

fa

cai