这个是我的实验报告,我感觉写的还挺用心的hhhhh有需要实验出现的靶机或者工具的可以留言
一、实验目的
了解内存转储方法,并能利用相关工具生成内存转储文件。掌握计算机取证工具DumpIt的使用方法,并用其实现Windows主机的物理内存转储。
掌握Volatility内存取证的方法并进行实践,能够利用Volatility进行内存镜像进行取证分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
能够利用工具,根据自定义条件,如可以选择只导出原创微博、是否需要导出图片、选择固定的时间范围等,固定微博数据,用于分析或取证。
二、实验环境及工具
Volatility、DumpIt
三、实验原理及步骤
先整个系统来用工具练练手,使用dumpit转存52pojie,因为这个机器小,转存后才几百m
转存的raw文件
不用转存其实也可以有,就把虚拟机挂起后,安装目录下就有一个veme文件,可以直接用于分析
在转存用于分析之前,构建一些相关事件,比如记事本写一写东西,浏览器访问一下某个网页
我把Windowsxp的内存放到volatility分析一下
首先分析一下操作系统
指令volatility -f xp.vmem imageinfo
可以看到分析的结果是winxpsp2X86的操作系统,查看一下进程
volatility -f 1.vmem –profile= WinXPSP2x86 pslist
查看运行的服务
查询一下历史浏览网页
volatility -f xp.vmem –profile=WinXPSP2x86 iehistory
查看当前notepad的内容
volatility -f xp.vmem –profile=WinXPSP2x86 notepad
查看文件的内容
volatility -f xp.vmem –profile=WinXPSP2x86 filescan >filescan.txt
查询结果可以看到文件的列表
Filescan的内容,看到flag我就知道用心良苦的姚老师又找了一个ctf的题目给我们写
分析老师给的vmem,先分析操作系统类型(好像不分析操作系统就会报错)
Volatility -f worldskills.vmem imageinfo
然后查看网络连接获取IP地址
volatility -f worldskills3.vmem –profile= Win7SP1x64 netscan
然后获取sam文件
volatility -f worldskills3.vmem –profile= Win7SP1x64 hashdump
查看建立了连接的netscan地址
cat ws3netscan.txt |grep ESTAB
已知进程号查询该进程对应的服务名称或父进程号
volatility -f worldskills3.vmem –profile= Win7SP1x64 pslist |grep 2588
查到父进程的地址为3036
根据svcscan导出的list,搜索3036进程号,可以看到服务名称为VMnetDHCP
要查看主机名要分析注册表
lsadump:从注册表中提取LSA密钥信息(已解密)
试一下lsadump
Lsadump显示加密以后的数据
hivelist:打印注册表配置单元列表
可以看到system
hivedump:打印注册表配置单元信息
查询SYSTEM的对应键名并输出到txt文件
volatility -f worldskills3.vmem –profile=Win7SP1x64 hivedump -o 0xfffff8a000024010 > wssystem.txt
然后查看这个输出文档 wssystem.txt 搜索关键词computername
对应的键名为/ControlSet001/Control/ComputerName/ComputerName
然后通过printkey输出键名对应的值
volatility -f worldskills3.vmem –profile=Win7SP1x64
printkey -K “ControlSet001/Control/ComputerName/ComputerName”
成功找到了主机的名称为WIN-9FBAEH4UV8C
执行命令扫描全部的文件
volatility -f worldskills3.vmem –profile=Win7SP1x64 filescan >wsfilescan.txt
在导出的txt中搜索flag
我们用dumpfiles爆破文件的内容,要根据文件的offset(0x000000007f1b6c10),指令为
volatility -f worldskills3.vmem –profile=Win7SP1x64 dumpfiles -Q 0x000000007f1b6c10 –dump-dir=./
cat dump后的文件就可以看到内容了
cat file.None.0xfffffa801a879510.dat
得到flag的值
分析病毒在自我删除时执行的命令是什么
可以通过memdump来分析进程的执行的指令
volatility -f worldskills3.vmem –profile=Win7SP1x64 memdump -p 3036 –dump-dir=./
这个我只是把啥啥dump出来而已,还没分析,稍后补。
原创文章,作者:jamestackk,如若转载,请注明出处:https://blog.ytso.com/tech/aiops/276913.html