其他
初识内存取证-volatility与Easy_dump
volatility
volatility工具的基本使用
命令格式
volatility -f [image] --profile=[profile] [plugin]volatility -f xxx.vmem imageinfo如果操作系统错误,是无法正确读取内存信息的,知道镜像后,就可以在--profile=中带上对应的操作系统
常用插件
查看用户名密码信息
volatility -f 1.vmem --profile=Win7SP1x64 hashdump查看进程
volatility -f 1.vmem --profile=Win7SP1x64 pslist查看服务
volatility -f 1.vmem --profile=Win7SP1x64 svcscan查看浏览器历史记录
volatility -f 1.vmem --profile=Win7SP1x64 iehistory查看网络连接
volatility -f 1.vmem --profile=Win7SP1x64 netscan查看命令行操作
volatility -f 1.vmem --profile=Win7SP1x64 cmdscan查看文件
volatility -f 1.vmem --profile=Win7SP1x64 filescan查看文件内容
volatility -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0xxxxxxxx -D ./查看当前展示的notepad内容
volatility -f 1.vmem --profile=Win7SP1x64 notepad提取进程
volatility -f 1.vmem --profile=Win7SP1x64 memdump -p xxx --dump-dir=./屏幕截图
volatility -f 1.vmem --profile=Win7SP1x64 screenshot --dump-dir=./查看注册表配置单元
volatility -f 1.vmem --profile=Win7SP1x64 hivelist查看注册表键名
volatility -f 1.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a001032410查看注册表键值
volatility -f 1.vmem --profile=Win7SP1x64 printkey -K "xxxxxxx"查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等
volatility -f 1.vmem --profile=Win7SP1x64 userassist最大程序提取信息
volatility -f 1.vmem --profile=Win7SP1x64 timeliner电子取证之Easy_dump(2018护网杯)
查看镜像信息
volatility -f easy_dump.img imageinfo查看结果,推测可能是Win7SP1x64的镜像
指定镜像进行进程扫描
也可以使用pslist参数
发现存在notepad.exe,查看一下内容。
导出进程中内容
其中procdump:是提取进程的可执行文件
memdump:是提取进程在内存中的信息
使用strings查找flag信息
发现提示是jpg
读取jpg文件
发现图片phos.jpg
导出图片
查看图片,无法正常打开
使用binwalk查看,发现存在zip文件
分离文件
分离后自动生成output文件夹,查看内容
解压00004372.zip,得到message.img
继续使用binwalk提取文件
得到hint.txt
使用脚本进行转换
#脚本文件
import matplotlib.pyplot as plt
import numpy as np
x = []
y = []
with open('hint.txt','r') as f:
datas = f.readlines()
for data in datas:
arr = data.split(' ')
x.append(int(arr[0]))
y.append(int(arr[1]))
plt.plot(x,y,'ks',ms=1)
plt.show()扫描二维码得到提示,一个是维吉尼亚加密,秘钥是aeolus。一个是加密文件被删除了,需要恢复。
恢复文件
testdisk message.img
红色为需要恢复的文件
最后一句字符串尝试解密
得到最终结果
参考资料
往期推荐
E
N
D