记一次内存取证

第一问请提交内存中恶意进程的名称

先查看内存文件的系统

直接pslist查看

记一次内存取证_第1张图片

这个进程的仔细看,发现是proshe11,不是proshell,花园她的子进程就等于另一个父进程,都是嫌疑,别的没有啥,就它了

还有看到他父进程大于子进程的也是有嫌疑

powershe11.exe

第二问请提交恶意进程写⼊的⽂件名称(不含路径)

把恶意进程导出来查看

记一次内存取证_第2张图片

strings分析导入1.txt文件里面

记一次内存取证_第3张图片

太多了,我分析个狗屎,既然是写入文件,就看一下桌面文件,看一下常规的对象txt,jpg等等

记一次内存取证_第4张图片

框内都是vm虚拟机的,不用看,先看一下txt文件最可能被写入东西,到导出来查看记一次内存取证_第5张图片

里面有内容,如果是被写入的话,在进程里面肯定也有写入内容的演示,复制下来在恶意进程里面搜索一下

记一次内存取证_第6张图片

果然有写入的,

hilyary.txt

第三问请提交admin账户的登录密码

记一次内存取证_第7张图片

看hash值,然后复制下来admin的那一段,拿去john爆破出来密码

先写入到一个txt文件记一次内存取证_第8张图片

可是爆破她。

因为之前做题的时候已经爆破过一次了,所以要先删除john的缓存,不然在爆破就不显示密码

rm -rf ~/.john/john.pot        

记一次内存取证_第9张图片

成功爆出密码123456

4.请提交攻击者创建的账户名称

记一次内存取证_第10张图片

这是全部的用户,带有$的是隐藏以后,攻击者都行把用户隐藏,所以他的可能性挺大,但是他是一个家庭用户,不是黑客创建的。

之后黑客肯定不行想自己的用户在登录的时候被看到,所以就要看注册表,找登录时候不显示的用户

记一次内存取证_第11张图片

根据提示一步一步查看注册表,找到隐藏用户的地方

找到了

Price

5.请提交在桌⾯某⽂件中隐藏的flag信息,格式:flag{...}

这种可能性比较的大的分析就是看浏览器记录或者历史命令

记一次内存取证_第12张图片

看看桌面上也没有,把它导出来看看

记一次内存取证_第13张图片

然后strings分析配合grep查询

记一次内存取证_第14张图片

flag{welc0me_to_2023_chinaskills}
 

fa

cai

你可能感兴趣的:(linux,运维,服务器)