ctf数据分析,ctf信息收集

  ctf数据分析,ctf信息收集

  内存取证经常使用易失性分析。

  法医文件后缀。原始的。vmem,img常用命令(imageinfo、pslist、dumpfiles、memdump)可疑进程(notepad、cmd)结合磁盘取证,调查了解一些操作系统原理。常用文件后缀dmg,Img volatility基本命令python vol . py-f[image]‐profile=[profile][plugin]命令,其中-f后面是要获取的文件,而-profile后面是工具识别的系统版本。【插件】是指使用过的插件,其中有些插件是默认存在的,你也可以自己下载一些插件扩展。您可以使用-h参数来获取使用方法。

  imageinfo:显示目标图像的摘要信息,这往往是第一步。获取内存的操作系统类型和版本,然后就可以把对应的操作系统带入——profile。后续操作应该带这个参数。

  pslist:该插件列出了系统进程,但它无法检测隐藏或未链接的进程。psscan运河

  pstree:以树的形式查看进程列表,如pslist,无法检测隐藏或未链接的进程。

  psscan:您可以找到以前终止(不活动)的进程和被rootkit隐藏或取消链接的进程。

  cmdscan:可用于查看终端记录。

  notepad:查看当前显示的记事本文本(较低版本的- profile=win XP什么的能用,win7版本不行,可以尝试使用editbox)

  filescan:扫描所有文件列表

  配合linux grep命令扫描相关字符,如grep flag,grep-e png jpg gif zip rar 7z pdf txt doc

  dumpfiles:导出文件(指定虚拟地址)

  Offset -Q和输出目录-D是必需的。

  mendump:提取指定的进程,用foremost把里面的文件分开。

  Process -p [pid]和输出目录-D是必需的。

  editbox:显示关于编辑控件的信息(曾经编辑过的内容)

  screenshot:保存基于GDI窗口的伪截图

  clipboard:查看剪贴板信息

  iehistory:检索IE浏览器历史记录

  systeminfo:显示计算机及其操作系统(插件)的详细配置信息

  hashdump:检查当前操作系统中的密码哈希,比如Windows中SAM文件的内容(mimikatz插件可以获取系统明文密码)

  mftparser:恢复已删除的文件

  svcscan:扫描Windows服务

  connscan:检查网络连接

  envars:查看环境变量

  dlllist:列出某个进程中加载的所有dll文件

  列出所有注册表项及其虚拟和物理地址。

  Timer:展开timeliner中的所有操作系统事件。

  磁盘取证软件

  十六进制编辑软件,常用的十六进制编辑软件有winhex,010editor,x-way。

  硬盘结构

  主引导扇区由主引导记录(MBR)、硬盘分区表(DPT)和结束标志组成。

  文件系统

  Windows: FAT12 - FAT16 - FAT32 - NTFS

  Linux: EXT2 - EXT3 - EXT4

  脂肪主盘结构

  删除文件:目录表中文件名的第一个字节e5

  VMDK文件本质上是物理硬盘的虚拟版本,也有类似于物理硬盘的分区和扇区的填充区域。我们可以利用这些填充的区域来隐藏我们需要隐藏的数据,从而避免隐藏的文件增加VMDK文件的大小(比如直接附加到文件后端),避免VMDK文件大小变化可能导致的虚拟机错误。而且VMDK文件一般都比较大,适合隐藏大文件。

  圆盘镜

  您的计算机有足够的存储空间来存储图像文件。

  使用kali工具(尸检)或其他磁盘图像分析工具

  找到挂入和查看文件(包括隐藏文件)的键。

  数据恢复

  示例:Rctf磁盘取证中有一个vmdk文件。用010打开,报错。

  确定shell是否会右键点击vmdk文件,用7z打开压缩包。

  如果shell中有真实的文件,请找到0.fat文件。

  用010打开0.fat文件,发现中间部分有很多重复的内容。

  rctf { unseCure _ quick _ form 4t _ vo1 ume

  使用veracryto挂载fat文件来挂载磁盘文件

  选择盘符,选择文件点击加载,在弹出框中输入密码rctf。

  挂载成功,多了一个本地A盘,找到password2 2,注意的是同一个加密磁盘文件可以使用不同的密码挂载,挂载后的文件不一样

  passowrd.txt

  密码:rctf2019你是亲戚.sosad用这个密码重新挂载,挂载后发现了A盘的错误,用winhex工具打开。

  有的会提示你选择磁盘格式,根据文件格式选择即可。

  在中间部分先发送剩余的标志。

  综合题目例1:easy _ dump . img

  查看镜像信息

  volatility-f . \ easy _ dump . img image info

  查看系统进程

  volatility-f . \ easy _ dump . img-profile=win 7 P1 x 64 PS list找到记事本进程

  因为系统版本是win7,所以无法读取记事本信息,但是可以提取记事本进程。

  volatility-f easy _ dump . img-profile=win7s 1 p 1 x 64 memdump-p 2616-d ./但是提取出来的字符串无法直接查看。你需要传递命令。

  Strings -e l 2626.dmp grep flag#选择字符大小和顺序:s=7位,s=8位,{b,l}=16位,{b,l}=32位。您可以使用这种方法或者使用前面提到的editbox命令而不是记事本,并找到提示符。

  使用命令查找jpg文件。

  volatility-f easy _ dump . img-profile=win 7 sp 1x 64 files can grep-E jpg

  提取这张图片。

  volatility-f easy _ dump . img-profile=win7s 1 p 1 x 64 dump files-q0x 00000002408 c 460-d ./使用foremost隔离图片,在zip文件夹中找到message.img。

  使用file命令查看文件类型为ext2磁盘文件。

  在linux系统上使用mount命令来挂载这个文件。

  root @ kali:~/desktop/output/zip # file message . img message . img:Linux Rev 1.0 ext 2文件系统数据,UUID=c 12 b 8 EC 9-5ef 5-4b 91-8b4d-f 827 e 81 f 83 cf(large files)root @ kali:~/desktop/output/zip # mkdirtestroot @ kali:~/desktop/output/zip # sudomontmessage . img ./Testroot @ kali:~/desktop/output/zip # CD testdrwxr-xr-3root4096年9月16日03: 16.-rw-r-r-1 root 257163 2018年9月27日hint . txt DRWX--2 root 12288 2018年9月27日失物招领DRWX-4 root 1024 2018年9月27日。Trash-0chathint.txt文件,文件内容是两列数字,很像x,y坐标。

  用gnuplot画图,发现二维码。

  用QR研究工具得到一个词,弗吉尼亚密码的关键。

  这是vigenere密钥:aeolus,但我删除了加密信息。检查那两个未查看的文件夹。

  找到了。swp交换文件,web手熟悉的。此文件是在使用vim编辑文件时意外中断造成的,可以恢复。

  Vim -r ./message.swp打开文件,以及文件的内容

  一色!Dmsx_tthv_arr_didvi解密以获取标志

  意外的解决方案

  例2:层层取证附件分为两部分。

  使用FTK挂载文件

  选择路径(不要用中文显示),将挂载方法设置为可写,然后单击挂载。

  我在我的电脑里又找到了三张磁盘。

  三种模拟方法花钱使用模拟工具,红莲

  Vmware模拟,看个人环境

  转化法,曲线救国,vmware模拟

  vmware磁盘格式是。VMDK,可以把题目给的磁盘文件转换成vmdk文件,然后导入vmware。

  VMware方法

  创建新的虚拟机—默认情况下为下一步—稍后安装操作系统—选择Win7x64作为操作系统—继续下一步,直到选择磁盘并使用物理磁盘。

  VMware中的设备

  装载FTK时选择设备。

  之后就是默认选择,启动时会自动设置,可以不去管。

  成功引导

  转换法

  格式转换方法

  FTK被转换成img格式

  选择创建磁盘映像。

  选择图像文件,然后选择地址。

  单击添加,选择第一个raw,单击下一步,然后再次单击下一步。

  选择目的地址,将图像碎片大小更改为0,并填写图像文件名。

  filename.img文件将在指定的目录中生成。

  使用格式转换工具(StarWind V2V转换器)将img格式转换为vmdk。

  使用VMware创建新的虚拟机

  默认情况下,您总是可以选择。选择磁盘时,选择使用现有虚拟磁盘,然后选择默认。

  回到正题,开机后,两个用户需要密码登录。

  用易失性分析kali中标题给定的内存文件

  volatility-f memdump . memimageinfo直接使用mimikataz插件转储密码

  volatility-f memdump . mem-profile=win 7 sp 1 x 64 Mimi Katz #晓明_帅

  使用密码登录用户。桌面上有一张便条。这个小的在大的后面。

  发现F盘不可访问。

  在物理机上用winhex打开磁盘文件,可以看到有一个分区被锁定。

  注意:FTK不能退出,因为磁盘需要一直挂载。

  BitLocker加密磁盘EFDD(Elcomsoft Forensic Disk Decryptor)工具可用于通过使用内存文件来破解加密磁盘。

  在虚拟机中安装EFDD

  选择解密磁盘,然后单击下一步。

  解密BitLocker密钥

  接下来,复制密钥。

  使用DiskGenuis解锁

  右键单击解锁并输入密钥。

  在解密文件中发现流量数据包

  使用wireshark分析流量,追踪udp流33查找rar文件,保存打开提示输入密码,输入word文档密码xiaoming1314,打开文档查找标志。

  音量不错。

  人们不得不繁殖更多的食物。

郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。

留言与评论(共有 条评论)
   
验证码: