ctf数据分析,ctf信息收集

　　内存取证经常使用易失性分析。

　　法医文件后缀。原始的。vmem，img常用命令(imageinfo、pslist、dumpfiles、memdump)可疑进程(notepad、cmd)结合磁盘取证，调查了解一些操作系统原理。常用文件后缀dmg，Img volatility基本命令python vol . py-f[image]‐profile=[profile][plugin]命令，其中-f后面是要获取的文件，而-profile后面是工具识别的系统版本。【插件】是指使用过的插件，其中有些插件是默认存在的，你也可以自己下载一些插件扩展。您可以使用-h参数来获取使用方法。

　　imageinfo:显示目标图像的摘要信息，这往往是第一步。获取内存的操作系统类型和版本，然后就可以把对应的操作系统带入——profile。后续操作应该带这个参数。

　　pslist:该插件列出了系统进程，但它无法检测隐藏或未链接的进程。psscan运河

　　pstree:以树的形式查看进程列表，如pslist，无法检测隐藏或未链接的进程。

　　psscan:您可以找到以前终止(不活动)的进程和被rootkit隐藏或取消链接的进程。

　　cmdscan:可用于查看终端记录。

　　notepad:查看当前显示的记事本文本(较低版本的- profile=win XP什么的能用，win7版本不行，可以尝试使用editbox)

　　filescan:扫描所有文件列表

　　配合linux grep命令扫描相关字符，如grep flag，grep-e png jpg gif zip rar 7z pdf txt doc

　　dumpfiles:导出文件(指定虚拟地址)

　　Offset -Q和输出目录-D是必需的。

　　mendump:提取指定的进程，用foremost把里面的文件分开。

　　Process -p [pid]和输出目录-D是必需的。

　　editbox:显示关于编辑控件的信息(曾经编辑过的内容)

　　screenshot:保存基于GDI窗口的伪截图

　　clipboard:查看剪贴板信息

　　iehistory:检索IE浏览器历史记录

　　systeminfo:显示计算机及其操作系统(插件)的详细配置信息

　　hashdump:检查当前操作系统中的密码哈希，比如Windows中SAM文件的内容(mimikatz插件可以获取系统明文密码)

　　mftparser:恢复已删除的文件

　　svcscan:扫描Windows服务

　　connscan:检查网络连接

　　envars:查看环境变量

　　dlllist:列出某个进程中加载的所有dll文件

　　列出所有注册表项及其虚拟和物理地址。

　　Timer:展开timeliner中的所有操作系统事件。

　　磁盘取证软件

　　十六进制编辑软件，常用的十六进制编辑软件有winhex，010editor，x-way。

　　硬盘结构

　　主引导扇区由主引导记录(MBR)、硬盘分区表(DPT)和结束标志组成。

　　文件系统

　　Windows: FAT12 - FAT16 - FAT32 - NTFS

　　Linux: EXT2 - EXT3 - EXT4

　　脂肪主盘结构

　　删除文件：目录表中文件名的第一个字节e5

　　VMDK文件本质上是物理硬盘的虚拟版本，也有类似于物理硬盘的分区和扇区的填充区域。我们可以利用这些填充的区域来隐藏我们需要隐藏的数据，从而避免隐藏的文件增加VMDK文件的大小(比如直接附加到文件后端)，避免VMDK文件大小变化可能导致的虚拟机错误。而且VMDK文件一般都比较大，适合隐藏大文件。

　　圆盘镜

　　您的计算机有足够的存储空间来存储图像文件。

　　使用kali工具(尸检)或其他磁盘图像分析工具

　　找到挂入和查看文件(包括隐藏文件)的键。

　　数据恢复

　　示例：Rctf磁盘取证中有一个vmdk文件。用010打开，报错。

　　确定shell是否会右键点击vmdk文件，用7z打开压缩包。

　　如果shell中有真实的文件，请找到0.fat文件。

　　用010打开0.fat文件，发现中间部分有很多重复的内容。

　　rctf { unseCure _ quick _ form 4t _ vo1 ume

　　使用veracryto挂载fat文件来挂载磁盘文件

　　选择盘符，选择文件点击加载，在弹出框中输入密码rctf。

　　挂载成功，多了一个本地A盘，找到password2 2，注意的是同一个加密磁盘文件可以使用不同的密码挂载，挂载后的文件不一样。

　　passowrd.txt

　　密码：rctf2019你是亲戚.sosad用这个密码重新挂载，挂载后发现了A盘的错误，用winhex工具打开。

　　有的会提示你选择磁盘格式，根据文件格式选择即可。

　　在中间部分先发送剩余的标志。

　　综合题目例1:easy _ dump . img

　　查看镜像信息

　　volatility-f . \ easy _ dump . img image info

　　查看系统进程

　　volatility-f . \ easy _ dump . img-profile=win 7 P1 x 64 PS list找到记事本进程

　　因为系统版本是win7，所以无法读取记事本信息，但是可以提取记事本进程。

　　volatility-f easy _ dump . img-profile=win7s 1 p 1 x 64 memdump-p 2616-d ./但是提取出来的字符串无法直接查看。你需要传递命令。

　　Strings -e l 2626.dmp grep flag#选择字符大小和顺序：s=7位，s=8位，{b，l}=16位，{b，l}=32位。您可以使用这种方法或者使用前面提到的editbox命令而不是记事本，并找到提示符。

　　使用命令查找jpg文件。

　　volatility-f easy _ dump . img-profile=win 7 sp 1x 64 files can grep-E jpg

　　提取这张图片。

　　volatility-f easy _ dump . img-profile=win7s 1 p 1 x 64 dump files-q0x 00000002408 c 460-d ./使用foremost隔离图片，在zip文件夹中找到message.img。

　　使用file命令查看文件类型为ext2磁盘文件。

　　在linux系统上使用mount命令来挂载这个文件。

　　root @ kali:~/desktop/output/zip # file message . img message . img:Linux Rev 1.0 ext 2文件系统数据，UUID=c 12 b 8 EC 9-5ef 5-4b 91-8b4d-f 827 e 81 f 83 cf(large files)root @ kali:~/desktop/output/zip # mkdirtestroot @ kali:~/desktop/output/zip # sudomontmessage . img ./Testroot @ kali:~/desktop/output/zip # CD testdrwxr-xr-3root4096年9月16日03: 16.-rw-r-r-1 root 257163 2018年9月27日hint . txt DRWX--2 root 12288 2018年9月27日失物招领DRWX-4 root 1024 2018年9月27日。Trash-0chathint.txt文件，文件内容是两列数字，很像x，y坐标。

　　用gnuplot画图，发现二维码。

　　用QR研究工具得到一个词，弗吉尼亚密码的关键。

　　这是vigenere密钥：aeolus，但我删除了加密信息。检查那两个未查看的文件夹。

　　找到了。swp交换文件，web手熟悉的。此文件是在使用vim编辑文件时意外中断造成的，可以恢复。

　　Vim -r ./message.swp打开文件，以及文件的内容

　　一色！Dmsx_tthv_arr_didvi解密以获取标志

　　意外的解决方案

　　例2:层层取证附件分为两部分。

　　使用FTK挂载文件

　　选择路径(不要用中文显示)，将挂载方法设置为可写，然后单击挂载。

　　我在我的电脑里又找到了三张磁盘。

　　三种模拟方法花钱使用模拟工具，红莲

　　Vmware模拟，看个人环境

　　转化法，曲线救国，vmware模拟

　　vmware磁盘格式是。VMDK，可以把题目给的磁盘文件转换成vmdk文件，然后导入vmware。

　　VMware方法

　　创建新的虚拟机—默认情况下为下一步—稍后安装操作系统—选择Win7x64作为操作系统—继续下一步，直到选择磁盘并使用物理磁盘。

　　VMware中的设备

　　装载FTK时选择设备。

　　之后就是默认选择，启动时会自动设置，可以不去管。

　　成功引导

　　转换法

　　格式转换方法

　　FTK被转换成img格式

　　选择创建磁盘映像。

　　选择图像文件，然后选择地址。

　　单击添加，选择第一个raw，单击下一步，然后再次单击下一步。

　　选择目的地址，将图像碎片大小更改为0，并填写图像文件名。

　　filename.img文件将在指定的目录中生成。

　　使用格式转换工具(StarWind V2V转换器)将img格式转换为vmdk。

　　使用VMware创建新的虚拟机

　　默认情况下，您总是可以选择。选择磁盘时，选择使用现有虚拟磁盘，然后选择默认。

　　回到正题，开机后，两个用户需要密码登录。

　　用易失性分析kali中标题给定的内存文件

　　volatility-f memdump . memimageinfo直接使用mimikataz插件转储密码

　　volatility-f memdump . mem-profile=win 7 sp 1 x 64 Mimi Katz #晓明_帅

　　使用密码登录用户。桌面上有一张便条。这个小的在大的后面。

　　发现F盘不可访问。

　　在物理机上用winhex打开磁盘文件，可以看到有一个分区被锁定。

　　注意：FTK不能退出，因为磁盘需要一直挂载。

　　BitLocker加密磁盘EFDD(Elcomsoft Forensic Disk Decryptor)工具可用于通过使用内存文件来破解加密磁盘。

　　在虚拟机中安装EFDD

　　选择解密磁盘，然后单击下一步。

　　解密BitLocker密钥

　　接下来，复制密钥。

　　使用DiskGenuis解锁

　　右键单击解锁并输入密钥。

　　在解密文件中发现流量数据包

　　使用wireshark分析流量，追踪udp流33查找rar文件，保存打开提示输入密码，输入word文档密码xiaoming1314，打开文档查找标志。

　　音量不错。

　　人们不得不繁殖更多的食物。

郑重声明：本文由网友发布，不代表盛行IT的观点，版权归原作者所有，仅为传播更多信息之目的，如有侵权请联系，我们将第一时间修改或删除，多谢。