開個新坑,因為之後的比賽會涉及到取證,所以這裡會有一個取證的合集,
因為是窮苦學生莫得馬內去買那些一鍵軟體,所以這裡我會使用volatility等一些有學習版的軟體,如果涉及到其他軟體會貼出下載地址。
取證比賽的網址Forensics-Wiki
題目1:請給出計算機記憶體建立北京時間?[答案格式:2000-01-11 00:00:00]
指令:./volatility.exe -f 檔案路徑/檔案 imageinfo
imageinfo:呼叫這個外掛,獲取關於記憶體映象檔案的基本資訊
根據題目描述,在這些資訊中主要是下面兩行,注意審題時北京時間,所以我們就要取utc+8
flag:2023-6-21 01:02:27
題目2:請給出計算機內使用者yang88的開機密碼?[答案格式:abc.123]
思路:用指令把主機使用者的資訊hashdump下來
指令:./volatility.exe -f 檔案路徑/檔案 --profile Win7SP1x64 hashdump
這裡的Win7SP1x64在第一個問題中,我們獲取檔案資訊的時候Suggested Profile也就是建議系統,一般取第一個,然後利用haspdump去dump下來使用者資訊
注:這裡有兩個雜湊值
這裡取第二個NTLM雜湊用於驗證使用者身份的主要雜湊,第一個之後會有用
yang88:46e5597f00c98ae6cf3917b07bcc00be
flag:3w.qax.com
題目3:提取記憶體映象中的USB裝置資訊,給出該USB裝置的最後連線北京時間?[答案格式:2000-01-11 00:00:00]
這裡需要下載外掛usbstorvolatility外掛合集
指令:python2 vol.py -f /root/桌面/Memory/blue_cat/memdump.mem --profile=Win7SP1x64 usbstor
注:這裡獲取到的是utc+0的時間我們要轉換為utc+8的時間線上時間轉換
flag:2023-06-21 01:01:25
題目4:請給出使用者yang88的LMHASH值?[答案格式:字母小寫]
這裡直接用題目2dump下來的第一個hash值就行了
./volatility.exe -f 檔案路徑/檔案 --profile Win7SP1x64 hashdump
flag:aad3b435b51404eeaad3b435b51404ee
題目5:請給出使用者yang88訪問過檔案“提現記錄.xlsx”的北京時間?[答案格式:2000-01-11 00:00:00]
指令:python2 vol.py -f /root/桌面/Memory/blue_cat/memdump.mem --profile=Win7SP1x64 mftparser | grep "xlsx"
這裡會用到mftparse和之前都差不多,記得改時間
flag:2023-06-21 00:29:16
題目6:請給出“VeraCrypt”最後一次執行的北京時間?[答案格式:2000-01-11 00:00:00]
這裡用到pslist外掛
指令:python2 vol.py -f memdump.mem --profile=Win7SP1x64 pslist
直接搜尋就行,記得轉換
flag:2023-06-21 00:47:41
題目7:分析記憶體映象,請給出使用者在“2023-06-20 16:56:57 UTC+0”訪問過“維斯塔斯”後臺多少次?[答案格式:10]
指令:python2 vol.py -f /root/桌面/Memory/blue_cat/memdump.mem --profile=Win7SP1x64 chromehistory
過於混亂,這裡發現維斯塔斯的地址為:vip.licai.com:8083,直接在指令後加入grep過濾
flag:2
題目8:請給出使用者最後一次訪問chrome瀏覽器的程序PID?[答案格式:1234]
這題可以參考題6
指令:python2 vol.py -f memdump.mem --profile=Win7SP1x64 pslist
第一個為PID,第二個是PPID
flag:2456