首页
论坛
课程
招聘
一文讲述内存取证的数据保存、数据分析、CTF实战案例
2021-5-25 15:18 3876

一文讲述内存取证的数据保存、数据分析、CTF实战案例

2021-5-25 15:18
3876

网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。

Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。


一、保存内存数据


使用dumpit.exe输入y,可将当前PC机的内存情况保存为raw文件。将该raw文件名更改为test.raw。


二、内存数据分析


1、将test.raw放入volatility文件夹中,使用volatility查看当时保存内存状态,在cmd下使用命令:

Volatility.exe -f test.raw imageinfo



在Suggested Profile(s)处给出了几个建议性的profile。

下边还提供了CPU时间等详细信息。


2、查看当时运行的进程,以及对应进程的详细状态信息。在cmd下使用命令:

Volatility.exe -f test.raw --profile=Win7SP1x64 pslist



命令中,--profile项中选择提供可选择的Suggested Profile,此处选择WIN7SP1x64

当然,此处也可以使用Volatility.exe -f test.raw --profile=Win7SP1x64 pstree

用pstree的方式查看进程。


3、查看当时缓存在内存中的注册表情况。在cmd下使用命令:

Volatility.exe -f test.raw --profile=Win7SP1x64 hivelist



其中需要注意Virtual地址,其它操作需要经常使用到虚拟地址。


4、如果有想要打印出来的注册表中的数据,可以使用命令:

Volatility.exe -f test.raw --profile=Win7SP1x64 hivedump -o 注册表对应虚拟地址



此处选择使用注册表SAM所对应的虚拟地址,查看注册表SAM下的注册表数据。


5、查看SAM中有哪些用户,可以使用命令:

Volatility.exe -f test.raw --profile=Win7SP1x64 printkey -K “对应注册表文件地址”




此处选择使用SAM\Domains\Account\Users\Names注册表地址。查看存在的相应用户。

此处选择使用SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon注册表地址,查看最后进行了修改的用户的时间等信息。


6、查看当时正在运行的程序,运行过的次数,最后一次运行的时间等信息。可以使用命令:

Volatility -f test.raw --profile=Win7SP1x64 userassist




7、使用memdump插件可以将当时内存中的某个进程数据提取出来,以bmp格式进行保存,可以使用命令:

Volatility -f test.raw --profile=Win7SP1x64 memdump -p 1608 -D win7/

-p 指定的进程ID

-D dump出的文件保存在哪个目录下。

此处使用1332 dumpit.exe的pid

可以使用strings工具将其字符串打印出来。


8、使用cmdscan插件可以将当时内存中的cmd使用情况提取出来,使用命令:

Volatility -f test.raw --profile=Win7SP1x64 cmdscan




9、使用netscan插件可以将当时的网络连接状态提取出来,使用命令:

Volatility -f test.raw --profile=Win7SP1x64 netscan




10、使用iehistory插件可以查看当时的IE浏览器使用情况,使用命令:

Volatility -f test.raw --profile=Win7SP1x64  iehistory




11、使用hashdump将内存中的系统密码dump出来,使用命令:

Volatility -f test.raw --profile=Win7SP1x64 hashdump -y (注册表system的virtual地址) -s (SAM的virtual地址)




12、使用timeliner插件从多个位置来搜集系统的活动信息,使用命令:

Volatility -f test.raw --profile=Win7SP1x64 timeliner




三、内存取证CTF实战案例


1、先对dmp数据进行基本分析,查看当时内存属于什么系统和版本。


2、使用pstree查看当时运行的进程。

这里发现有运行cmd.exe,使用cmdscan插件去查看当时cmd运行的命令。

然后看到里边存有flag相关的信息,得到flag.ccx的password与Administrator的password一样。


3、去搜索一下flag.ccx文件,使用filescan插件查询后生成一个mem.txt文件。

检索以下带flag的字段。


4、使用dump命令将flag.ccx文件dump下来。

查询SAM表用户。

列出system与SAM的内存地址。


7、使用hashdump将Administrator的密码hash dump下来。

根据得到的Administrator的hash去解密cmd5,以获取密码。


8、从进程表中看见有进程CnCrypt,猜测使用CnCrypt进行加密的,使用CnCrypt挂载文件进行解密。

得到flag。



编辑于刚刚



[2022夏季班]《安卓高级研修班(网课)》月薪两万班招生中~

最后于 2021-5-27 14:21 被华云安编辑 ,原因:
收藏
点赞1
打赏
分享
最新回复 (1)
雪    币: 3
活跃值: 活跃值 (1452)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
咖啡_741298 活跃值 2021-5-25 17:13
2
0
8、从进程表中看见有进程CnCrypt,猜测使用CnCrypt进行加密的,使用CnCrypt挂载文件进行解密。

不知道密码也可以挂载???
游客
登录 | 注册 方可回帖
返回