工具: volatility2.6 + gimp
使用外掛 mimikatz 看看賬戶和密碼
python2 vol.py --plugins=/plugins/ -f 'baby_misc.raw' --profile=Win7SP1x64 mimikatz
然後再使用 filescan 外掛掃描一下可疑的檔案
python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 filescan | grep -E 'png|jpg|gif|zip|rar|7z|pdf|txt|doc|xls'
可以看到有一個 flag.zip 和 hint.txt,分別提取出來使用 dmpfiles 外掛
python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 dumpfiles -Q 0x000000003e7d2650 -D /
-Q 指定偏移量
-D 輸出的目錄 -D /flag
然後檢視 hint.txt 檔案,
然後我們使用 pslist 外掛檢視程序,發現可疑程序 calc.exe,使用 memdump外掛進⾏轉存
python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 memdump -n calc.exe -D /
將得到的 1516.dmp 檔案使用 foremost 分離裡面的檔案,可以看到一個 zip 裡面有 flag.zip
flag
因為沒有環境了所以不知道對錯,但是感覺是錯的,我們之前得到的桌面上的 flag.zip 需要密碼,所以我們應該找到密碼。
後面發現一件文章 【CTF】利用volatility與Gimp實現Windows記憶體取證 - 個人文章 - SegmentFault 思否
可以利用 Gimp 開啟,檢視映象中的系統介面
使用 Gimp
將我們 memdump 的檔案,把字尾改成 .data 最後,拖入工具即可。
一開始是這樣子的,我們將它放大就行,然後設定影像型別為 RGB透明,這樣對比比較明顯,可以比較容易發現有效資訊,搜尋了一下 win7 的解析度,設定一下
然後就一直拖動位移就行,
這個位置可以看出來應該是有影像的,因為寬度不合適所以才這樣,調整寬度直至影像清晰就行,現在就很明顯了,繼續調就行
拖動位移使影像居中,然後繼續調整寬度,可以得到清晰的影像。
計算機上的數字應該是我們要利用的 132424464,直接去解壓縮吧,不行,我們直接使用 windows 外掛列印桌面視窗(詳細資訊)
python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 windows | grep "132424464"
最後在,16 進位制轉一下得到密碼, ^&G12BDd
flag:flag{fba99a87-2278-f175-5055-a47f5773c131}