volatility内存取证分析实战


这个是我的实验报告,我感觉写的还挺用心的hhhhh有需要实验出现的靶机或者工具的可以留言

一、实验目的

了解内存转储方法,并能利用相关工具生成内存转储文件。掌握计算机取证工具DumpIt的使用方法,并用其实现Windows主机的物理内存转储。

掌握Volatility内存取证的方法并进行实践,能够利用Volatility进行内存镜像进行取证分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。

能够利用工具,根据自定义条件,如可以选择只导出原创微博、是否需要导出图片、选择固定的时间范围等,固定微博数据,用于分析或取证。

二、实验环境及工具

Volatility、DumpIt

三、实验原理及步骤

先整个系统来用工具练练手,使用dumpit转存52pojie,因为这个机器小,转存后才几百m

volatility内存取证分析实战

转存的raw文件

volatility内存取证分析实战

 

不用转存其实也可以有,就把虚拟机挂起后,安装目录下就有一个veme文件,可以直接用于分析

volatility内存取证分析实战

 

 

 在转存用于分析之前,构建一些相关事件,比如记事本写一写东西,浏览器访问一下某个网页

我把Windowsxp的内存放到volatility分析一下

volatility内存取证分析实战

首先分析一下操作系统

指令volatility -f xp.vmem imageinfo

volatility内存取证分析实战

 

 

 

可以看到分析的结果是winxpsp2X86的操作系统,查看一下进程

volatility -f 1.vmem –profile= WinXPSP2x86 pslist

 volatility内存取证分析实战

 

查看运行的服务

volatility内存取证分析实战

 

 

查询一下历史浏览网页

volatility -f xp.vmem –profile=WinXPSP2x86 iehistory  

volatility内存取证分析实战

查看当前notepad的内容

volatility -f xp.vmem –profile=WinXPSP2x86 notepad

 

 volatility内存取证分析实战

查看文件的内容

volatility -f xp.vmem –profile=WinXPSP2x86 filescan >filescan.txt

查询结果可以看到文件的列表

volatility内存取证分析实战

Filescan的内容,看到flag我就知道用心良苦的姚老师又找了一个ctf的题目给我们写

volatility内存取证分析实战

 

 

分析老师给的vmem,先分析操作系统类型(好像不分析操作系统就会报错)

Volatility -f worldskills.vmem imageinfo

volatility内存取证分析实战

然后查看网络连接获取IP地址

volatility -f worldskills3.vmem  –profile= Win7SP1x64 netscan

volatility内存取证分析实战

然后获取sam文件

volatility -f worldskills3.vmem  –profile= Win7SP1x64 hashdump

volatility内存取证分析实战

查看建立了连接的netscan地址

cat ws3netscan.txt |grep ESTAB

volatility内存取证分析实战

已知进程号查询该进程对应的服务名称或父进程号

volatility -f worldskills3.vmem  –profile= Win7SP1x64 pslist |grep 2588

查到父进程的地址为3036

volatility内存取证分析实战 

根据svcscan导出的list,搜索3036进程号,可以看到服务名称为VMnetDHCP

volatility内存取证分析实战

要查看主机名要分析注册表

lsadump:从注册表中提取LSA密钥信息(已解密)

试一下lsadump

volatility内存取证分析实战 

Lsadump显示加密以后的数据

hivelist:打印注册表配置单元列表

可以看到system

volatility内存取证分析实战

hivedump:打印注册表配置单元信息

查询SYSTEM的对应键名并输出到txt文件

volatility -f worldskills3.vmem –profile=Win7SP1x64 hivedump -o 0xfffff8a000024010 > wssystem.txt

然后查看这个输出文档 wssystem.txt 搜索关键词computername

对应的键名为/ControlSet001/Control/ComputerName/ComputerName

volatility内存取证分析实战

然后通过printkey输出键名对应的值

volatility -f worldskills3.vmem –profile=Win7SP1x64

printkey -K “ControlSet001/Control/ComputerName/ComputerName”

成功找到了主机的名称为WIN-9FBAEH4UV8C

volatility内存取证分析实战

执行命令扫描全部的文件

volatility -f worldskills3.vmem –profile=Win7SP1x64 filescan >wsfilescan.txt

在导出的txt中搜索flag

volatility内存取证分析实战

我们用dumpfiles爆破文件的内容,要根据文件的offset(0x000000007f1b6c10),指令为

volatility -f worldskills3.vmem –profile=Win7SP1x64 dumpfiles -Q 0x000000007f1b6c10 –dump-dir=./

volatility内存取证分析实战

cat dump后的文件就可以看到内容了

cat file.None.0xfffffa801a879510.dat 

得到flag的值

volatility内存取证分析实战

分析病毒在自我删除时执行的命令是什么

可以通过memdump来分析进程的执行的指令

volatility -f worldskills3.vmem –profile=Win7SP1x64 memdump -p 3036 –dump-dir=./

volatility内存取证分析实战

 

 这个我只是把啥啥dump出来而已,还没分析,稍后补。

原创文章,作者:jamestackk,如若转载,请注明出处:https://blog.ytso.com/tech/aiops/276913.html

(0)
上一篇 2022年7月25日 17:45
下一篇 2022年7月25日 17:47

相关推荐

发表回复

登录后才能评论