【MISC】Volatility取证分析工具 |
您所在的位置:网站首页 › volatility工具查找危险软件 › 【MISC】Volatility取证分析工具 |
Volatility取证分析工具 # 关于工具 # 简单描述 # Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 特点: 开源:Python编写,易于和基于python的主机防御框架集成。 支持多平台:Windows,Mac,Linux全支持 易于扩展:通过插件来扩展Volatility的分析能力 项目地址 #https://github.com/volatilityfoundation/volatility Kali安装 # sudo apt-get install volatility volatility -h # 部分报错可能kali版本过低 123流程图 #DumpIt.exe 进程 (opens new window) Volatility基本介绍 (opens new window) 基本命令 (opens new window) 组合命令 (opens new window) 进阶命令 (opens new window) 基础题型和基本取证 (opens new window) 利用Volatility进行Windows内存取证分析 (opens new window) windows取证 (opens new window) 内存取证 (opens new window) 从题目学习Volatility取证 # 四川省高校CTF大赛[安恒杯] - Play with Cookie #文件描述:得到了master key file 的和靶机镜像文件,需要找到里面的flag 了解基本架构 # sudo volatility -f Cookie.raw imageinfo 1得到的关键信息 Win7SP1x86 mage date and time : 2020-02-11 12:11:51 UTC+0000 12关键看Suggested Profile(s)项,这里是工具判断该镜像的架构,同时也会提供相应架构的命令用于分析该镜像,本题中可能性最大的架构是Win7SP1x86,然后在调用命令时加上--profile=Win7SP1x86就可以了 敏感信息获取 #获取所有使用的进程号的信息 sudo volatility -f Cookie.raw --profile=Win7SP1x86 pslist > pslist.txt 1查看一下是否含有flag文件 volatility -f Cookie.raw --profile=Win7SP1x86 filescan | grep "doc|docx|rtf" 1volatility -f Cookie.raw --profile=Win7SP1x86 filescan | grep "jpg|jpeg|png|tif|gif|bmp" 1volatility -f Cookie.raw --profile=Win7SP1x86 filescan | grep 'flag|ctf' 1volatility -f Cookie.raw --profile=Win7SP1x86 filescan | grep "Desktop" 1C:\home\kali\桌面> volatility -f Cookie.raw --profile=Win7SP1x86 filescan | grep "Desktop" Volatility Foundation Volatility Framework 2.6 0x000000003e423038 1 0 R--rwd \Device\HarddiskVolume1\Users\Cookie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Desktop.ini 0x000000003e486038 1 0 R--rwd \Device\HarddiskVolume1\Users\Cookie\Desktop\desktop.ini 0x000000003e4ebb08 1 0 R--rwd \Device\HarddiskVolume1\Users\Public\Desktop\desktop.ini 0x000000003e51c3a0 1 0 R--rwd \Device\HarddiskVolume1\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Desktop.ini 0x000000003e5789e0 1 1 R--rw- \Device\HarddiskVolume1\Users\Cookie\Desktop 0x000000003e5f1668 2 1 R--rwd \Device\HarddiskVolume1\Users\Cookie\Desktop 0x000000003e628400 1 0 R--rwd \Device\HarddiskVolume1\Users\root\AppData\Roaming\Microsoft\Windows\SendTo\Desktop.ini 0x000000003e663160 1 0 R--rwd \Device\HarddiskVolume1\Windows\assembly\Desktop.ini 0x000000003e66a228 1 1 RW-rw- \Device\HarddiskVolume1\Users\Cookie\Desktop\WIN-I0396FOVLRF-20200211-121148.raw 0x000000003e671d28 8 0 R--r-d \Device\HarddiskVolume1\Users\Cookie\Desktop\DumpIt.exe 0x000000003e69ef80 1 0 R--rwd \Device\HarddiskVolume1\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Desktop.ini 0x000000003e6a9d28 2 1 R--rwd \Device\HarddiskVolume1\Users\Public\Desktop 0x000000003e6aacb8 1 0 R--rwd \Device\HarddiskVolume1\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\Desktop.ini 0x000000003e6ff950 8 0 R--r-d \Device\HarddiskVolume1\Users\Cookie\Desktop\DumpIt.exe 0x000000003e70d308 1 0 R--rwd \Device\HarddiskVolume1\Windows\Media\Desktop.ini 0x000000003e73af80 1 0 R--rwd \Device\HarddiskVolume1\Users\Cookie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance\Desktop.ini 0x000000003e90e718 1 0 R--rwd \Device\HarddiskVolume1\Users\Cookie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Desktop.ini 0x000000003e919910 1 0 R--rwd \Device\HarddiskVolume1\Users\Cookie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Desktop.ini 0x000000003e93f578 1 0 R--rwd \Device\HarddiskVolume1\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\Tablet PC\Desktop.ini 0x000000003e95bc98 1 0 R--rwd \Device\HarddiskVolume1\ProgramData\Microsoft\Windows\Start Menu\Programs\Maintenance\Desktop.ini 0x000000003eb33bc8 2 1 R--rwd \Device\HarddiskVolume1\Users\Cookie\Desktop 0x000000003f3f55c0 2 1 R--rwd \Device\HarddiskVolume1\Users\Public\Desktop 0x000000003f9871d8 1 0 R--rwd \Device\HarddiskVolume1\Users\root\Desktop\desktop.ini 0x000000003fca7630 1 0 R--rwd \Device\HarddiskVolume1\Users\Cookie\AppData\Roaming\Microsoft\Windows\SendTo\Desktop.ini 1234567891011121314151617181920212223242526这是查看raw文件中的桌面文件,没有得到有用的信息,只得知了是Cookie用户 查看一下他的电脑截图 volatility -f Cookie.rwa --profile=Win7SP1x86 screenshot --dump-dir=./ 1只得到了一个页面信息,提示正在使用的进程是DUMpit.exe 看一下用户信息 volatility -f Cookie.raw --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names" 1只有基本的几个用户 看一下他的命令行输出了什么 volatility -f Cookie.raw --profile=Win7SP1x86 cmdline 1可以看到一些cmd信息和进程号 Volatility Foundation Volatility Framework 2.6 ************************************************************************ System pid: 4 ************************************************************************ smss.exe pid: 272 Command line : \SystemRoot\System32\smss.exe ************************************************************************ csrss.exe pid: 360 Command line : %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 ************************************************************************ wininit.exe pid: 412 Command line : wininit.exe ************************************************************************ csrss.exe pid: 420 Command line : %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 ************************************************************************ winlogon.exe pid: 480 Command line : winlogon.exe ************************************************************************ services.exe pid: 520 Command line : C:\Windows\system32\services.exe ************************************************************************ lsass.exe pid: 528 Command line : C:\Windows\system32\lsass.exe ************************************************************************ lsm.exe pid: 536 Command line : C:\Windows\system32\lsm.exe ************************************************************************ svchost.exe pid: 636 Command line : C:\Windows\system32\svchost.exe -k DcomLaunch ************************************************************************ svchost.exe pid: 716 Command line : C:\Windows\system32\svchost.exe -k RPCSS ************************************************************************ svchost.exe pid: 808 Command line : C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted ************************************************************************ svchost.exe pid: 844 Command line : C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted ************************************************************************ svchost.exe pid: 876 Command line : C:\Windows\system32\svchost.exe -k netsvcs ************************************************************************ audiodg.exe pid: 956 Command line : C:\Windows\system32\AUDIODG.EXE 0x2e8 ************************************************************************ svchost.exe pid: 1036 Command line : C:\Windows\system32\svchost.exe -k LocalService ************************************************************************ svchost.exe pid: 1132 Command line : C:\Windows\system32\svchost.exe -k NetworkService ************************************************************************ spoolsv.exe pid: 1280 Command line : C:\Windows\System32\spoolsv.exe ************************************************************************ svchost.exe pid: 1376 Command line : C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork ************************************************************************ VGAuthService. pid: 1560 Command line : "C:\Program Files\VMware\VMware Tools\VMware VGAuth\VGAuthService.exe" ************************************************************************ vmtoolsd.exe pid: 1584 Command line : "C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" ************************************************************************ svchost.exe pid: 1824 Command line : C:\Windows\system32\svchost.exe -k bthsvcs ************************************************************************ dllhost.exe pid: 128 Command line : C:\Windows\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} ************************************************************************ msdtc.exe pid: 596 Command line : C:\Windows\System32\msdtc.exe ************************************************************************ WmiPrvSE.exe pid: 920 Command line : C:\Windows\system32\wbem\wmiprvse.exe ************************************************************************ taskhost.exe pid: 2096 Command line : "taskhost.exe" ************************************************************************ dwm.exe pid: 2188 Command line : "C:\Windows\system32\Dwm.exe" ************************************************************************ explorer.exe pid: 2216 Command line : C:\Windows\Explorer.EXE ************************************************************************ vm3dservice.ex pid: 2404 Command line : "C:\Windows\System32\vm3dservice.exe" -u ************************************************************************ vmtoolsd.exe pid: 2412 Command line : "C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" -n vmusr ************************************************************************ SearchIndexer. pid: 2584 Command line : C:\Windows\system32\SearchIndexer.exe /Embedding ************************************************************************ WmiPrvSE.exe pid: 2764 Command line : C:\Windows\system32\wbem\wmiprvse.exe ************************************************************************ svchost.exe pid: 3224 Command line : C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation ************************************************************************ sppsvc.exe pid: 3272 Command line : C:\Windows\system32\sppsvc.exe ************************************************************************ svchost.exe pid: 3344 Command line : C:\Windows\System32\svchost.exe -k secsvcs ************************************************************************ taskhost.exe pid: 2924 Command line : taskhost.exe $(Arg0) ************************************************************************ SearchProtocol pid: 3520 Command line : "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe5_ Global\UsGthrCtrlFltPipeMssGthrPipe5 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" ************************************************************************ SearchFilterHo pid: 2692 Command line : "C:\Windows\system32\SearchFilterHost.exe" 0 532 536 544 65536 540 ************************************************************************ DumpIt.exe pid: 3632 Command line : "C:\Users\Cookie\Desktop\DumpIt.exe" ************************************************************************ conhost.exe pid: 1684 Command line : \??\C:\Windows\system32\conhost.exe ************************************************************************ dllhost.exe pid: 3552 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122也没有得到关键的信息 看一下连接过的网络 volatility -f Cookie.raw --profile=Win7SP1x86 netscan 1看到在3分钟之后是未知的,回到进程查看一下他干了什么 sudo volatility -f Cookie.raw --profile=Win7SP1x86 pslist 1这一段3~9分钟之间发生了一些事情让出题人等待了一下,上网查一下这些进程的含义以及使用的用途 把这个位置的进程dump出来加以分析一下 volatility -f Cookie.raw --profile=Win7SP1x86 memdump -p 2924 --dump-dir=./ 1C:\home\kali\桌面> volatility -f Cookie.raw --profile=Win7SP1x86 memdump -p 2924 --dump-dir=./ Volatility Foundation Volatility Framework 2.6 ************************************************************************ Writing taskhost.exe [ 2924] to 2924.dmp 12345得到一个2924.dmp文件 关键字文件查找 strings 2924.dmp | grep flag{ ;strings 2924.dmp | grep DASCTF{ ;strings 2924.dmp | grep ctf{ 1C:\home\kali\桌面> strings 2924.dmp | grep flag{ ;strings 2924.dmp | grep DASCTF{ ;strings 2924.dmp | grep ctf{ $value = "flag{528c8870778d2336fdf512652b74a8aa}"; 123得到flag 看一下文件里面是什么 扫描 记事本文件 kali@kali:~/桌面$ volatility -f mem.raw --profile=Win7SP0x86 filescan | grep not Volatility Foundation Volatility Framework 2.6 0x000000001de89cb8 6 0 R--r-d \Device\HarddiskVolume2\Windows\System32\notepad.exe 1234dump进程查看文件,发现文件可能被删除 使用命令恢复数据 得到百度网盘链接和提取码,下载下来一个加密文件 寻找加密进程 dump进程下来 使用EFDD解密vol文件 得到密码:uOjFdKu1jsbWI8N51jsbWI8N5 再使用得到的密码TrueCrypt挂载上去解密 得到一个加密的flag压缩包 GIMP还原 #把 mspaint.exe (pid 2648) dump下来,使用GIMP还原 得到密码 :1YxfCQ6goYBD6Q 打开加密zip文件得到flag RoarCTF{wm_D0uB1e_TC-cRypt} 上次更新: 11/2/2023, 3:02:48 AM【CRYPTO】RSA 【PWN】ret2text |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |