ctf数据分析,ctf信息收集
内存取证经常使用易失性分析。
法医文件后缀。原始的。vmem,img常用命令(imageinfo、pslist、dumpfiles、memdump)可疑进程(notepad、cmd)结合磁盘取证,调查了解一些操作系统原理。常用文件后缀dmg,Img volatility基本命令python vol . py-f[image]‐profile=[profile][plugin]命令,其中-f后面是要获取的文件,而-profile后面是工具识别的系统版本。【插件】是指使用过的插件,其中有些插件是默认存在的,你也可以自己下载一些插件扩展。您可以使用-h参数来获取使用方法。
imageinfo:显示目标图像的摘要信息,这往往是第一步。获取内存的操作系统类型和版本,然后就可以把对应的操作系统带入——profile。后续操作应该带这个参数。
pslist:该插件列出了系统进程,但它无法检测隐藏或未链接的进程。psscan运河
pstree:以树的形式查看进程列表,如pslist,无法检测隐藏或未链接的进程。
psscan:您可以找到以前终止(不活动)的进程和被rootkit隐藏或取消链接的进程。
cmdscan:可用于查看终端记录。
notepad:查看当前显示的记事本文本(较低版本的- profile=win XP什么的能用,win7版本不行,可以尝试使用editbox)
filescan:扫描所有文件列表
配合linux grep命令扫描相关字符,如grep flag,grep-e png jpg gif zip rar 7z pdf txt doc
dumpfiles:导出文件(指定虚拟地址)
Offset -Q和输出目录-D是必需的。
mendump:提取指定的进程,用foremost把里面的文件分开。
Process -p [pid]和输出目录-D是必需的。
editbox:显示关于编辑控件的信息(曾经编辑过的内容)
screenshot:保存基于GDI窗口的伪截图
clipboard:查看剪贴板信息
iehistory:检索IE浏览器历史记录
systeminfo:显示计算机及其操作系统(插件)的详细配置信息
hashdump:检查当前操作系统中的密码哈希,比如Windows中SAM文件的内容(mimikatz插件可以获取系统明文密码)
mftparser:恢复已删除的文件
svcscan:扫描Windows服务
connscan:检查网络连接
envars:查看环境变量
dlllist:列出某个进程中加载的所有dll文件
列出所有注册表项及其虚拟和物理地址。
Timer:展开timeliner中的所有操作系统事件。
磁盘取证软件
十六进制编辑软件,常用的十六进制编辑软件有winhex,010editor,x-way。
硬盘结构
主引导扇区由主引导记录(MBR)、硬盘分区表(DPT)和结束标志组成。
文件系统
Windows: FAT12 - FAT16 - FAT32 - NTFS
Linux: EXT2 - EXT3 - EXT4
脂肪主盘结构
删除文件:目录表中文件名的第一个字节e5
VMDK文件本质上是物理硬盘的虚拟版本,也有类似于物理硬盘的分区和扇区的填充区域。我们可以利用这些填充的区域来隐藏我们需要隐藏的数据,从而避免隐藏的文件增加VMDK文件的大小(比如直接附加到文件后端),避免VMDK文件大小变化可能导致的虚拟机错误。而且VMDK文件一般都比较大,适合隐藏大文件。
圆盘镜
您的计算机有足够的存储空间来存储图像文件。
使用kali工具(尸检)或其他磁盘图像分析工具
找到挂入和查看文件(包括隐藏文件)的键。
数据恢复
示例:Rctf磁盘取证中有一个vmdk文件。用010打开,报错。
确定shell是否会右键点击vmdk文件,用7z打开压缩包。
如果shell中有真实的文件,请找到0.fat文件。
用010打开0.fat文件,发现中间部分有很多重复的内容。
rctf { unseCure _ quick _ form 4t _ vo1 ume
使用veracryto挂载fat文件来挂载磁盘文件
选择盘符,选择文件点击加载,在弹出框中输入密码rctf。
挂载成功,多了一个本地A盘,找到password2 2,注意的是同一个加密磁盘文件可以使用不同的密码挂载,挂载后的文件不一样。
passowrd.txt
密码:rctf2019你是亲戚.sosad用这个密码重新挂载,挂载后发现了A盘的错误,用winhex工具打开。
有的会提示你选择磁盘格式,根据文件格式选择即可。
在中间部分先发送剩余的标志。
综合题目例1:easy _ dump . img
查看镜像信息
volatility-f . \ easy _ dump . img image info
查看系统进程
volatility-f . \ easy _ dump . img-profile=win 7 P1 x 64 PS list找到记事本进程
因为系统版本是win7,所以无法读取记事本信息,但是可以提取记事本进程。
volatility-f easy _ dump . img-profile=win7s 1 p 1 x 64 memdump-p 2616-d ./但是提取出来的字符串无法直接查看。你需要传递命令。
Strings -e l 2626.dmp grep flag#选择字符大小和顺序:s=7位,s=8位,{b,l}=16位,{b,l}=32位。您可以使用这种方法或者使用前面提到的editbox命令而不是记事本,并找到提示符。
使用命令查找jpg文件。
volatility-f easy _ dump . img-profile=win 7 sp 1x 64 files can grep-E jpg
提取这张图片。
volatility-f easy _ dump . img-profile=win7s 1 p 1 x 64 dump files-q0x 00000002408 c 460-d ./使用foremost隔离图片,在zip文件夹中找到message.img。
使用file命令查看文件类型为ext2磁盘文件。
在linux系统上使用mount命令来挂载这个文件。
root @ kali:~/desktop/output/zip # file message . img message . img:Linux Rev 1.0 ext 2文件系统数据,UUID=c 12 b 8 EC 9-5ef 5-4b 91-8b4d-f 827 e 81 f 83 cf(large files)root @ kali:~/desktop/output/zip # mkdirtestroot @ kali:~/desktop/output/zip # sudomontmessage . img ./Testroot @ kali:~/desktop/output/zip # CD testdrwxr-xr-3root4096年9月16日03: 16.-rw-r-r-1 root 257163 2018年9月27日hint . txt DRWX--2 root 12288 2018年9月27日失物招领DRWX-4 root 1024 2018年9月27日。Trash-0chathint.txt文件,文件内容是两列数字,很像x,y坐标。
用gnuplot画图,发现二维码。
用QR研究工具得到一个词,弗吉尼亚密码的关键。
这是vigenere密钥:aeolus,但我删除了加密信息。检查那两个未查看的文件夹。
找到了。swp交换文件,web手熟悉的。此文件是在使用vim编辑文件时意外中断造成的,可以恢复。
Vim -r ./message.swp打开文件,以及文件的内容
一色!Dmsx_tthv_arr_didvi解密以获取标志
意外的解决方案
例2:层层取证附件分为两部分。
使用FTK挂载文件
选择路径(不要用中文显示),将挂载方法设置为可写,然后单击挂载。
我在我的电脑里又找到了三张磁盘。
三种模拟方法花钱使用模拟工具,红莲
Vmware模拟,看个人环境
转化法,曲线救国,vmware模拟
vmware磁盘格式是。VMDK,可以把题目给的磁盘文件转换成vmdk文件,然后导入vmware。
VMware方法
创建新的虚拟机—默认情况下为下一步—稍后安装操作系统—选择Win7x64作为操作系统—继续下一步,直到选择磁盘并使用物理磁盘。
VMware中的设备
装载FTK时选择设备。
之后就是默认选择,启动时会自动设置,可以不去管。
成功引导
转换法
格式转换方法
FTK被转换成img格式
选择创建磁盘映像。
选择图像文件,然后选择地址。
单击添加,选择第一个raw,单击下一步,然后再次单击下一步。
选择目的地址,将图像碎片大小更改为0,并填写图像文件名。
filename.img文件将在指定的目录中生成。
使用格式转换工具(StarWind V2V转换器)将img格式转换为vmdk。
使用VMware创建新的虚拟机
默认情况下,您总是可以选择。选择磁盘时,选择使用现有虚拟磁盘,然后选择默认。
回到正题,开机后,两个用户需要密码登录。
用易失性分析kali中标题给定的内存文件
volatility-f memdump . memimageinfo直接使用mimikataz插件转储密码
volatility-f memdump . mem-profile=win 7 sp 1 x 64 Mimi Katz #晓明_帅
使用密码登录用户。桌面上有一张便条。这个小的在大的后面。
发现F盘不可访问。
在物理机上用winhex打开磁盘文件,可以看到有一个分区被锁定。
注意:FTK不能退出,因为磁盘需要一直挂载。
BitLocker加密磁盘EFDD(Elcomsoft Forensic Disk Decryptor)工具可用于通过使用内存文件来破解加密磁盘。
在虚拟机中安装EFDD
选择解密磁盘,然后单击下一步。
解密BitLocker密钥
接下来,复制密钥。
使用DiskGenuis解锁
右键单击解锁并输入密钥。
在解密文件中发现流量数据包
使用wireshark分析流量,追踪udp流33查找rar文件,保存打开提示输入密码,输入word文档密码xiaoming1314,打开文档查找标志。
音量不错。
人们不得不繁殖更多的食物。
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。