簡單的記憶體取證

lpppp小公主發表於2024-08-26

工具: volatility2.6 + gimp

使用外掛 mimikatz 看看賬戶和密碼

python2 vol.py --plugins=/plugins/ -f 'baby_misc.raw' --profile=Win7SP1x64 mimikatz

image-20240824220751-fex2nad

然後再使用 filescan 外掛掃描一下可疑的檔案

python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 filescan | grep -E 'png|jpg|gif|zip|rar|7z|pdf|txt|doc|xls'

image-20240824221056-q0ym22u

可以看到有一個 flag.ziphint.txt,分別提取出來使用 dmpfiles 外掛

python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 	dumpfiles -Q 0x000000003e7d2650 -D /

-Q 指定偏移量

-D 輸出的目錄 -D /flag

image-20240824221413-gu88l3b

然後檢視 hint.txt 檔案,

image-20240824221959-96ix3zn

然後我們使用 pslist 外掛檢視程序,發現可疑程序 calc.exe,使用 memdump外掛進⾏轉存

python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 memdump -n calc.exe -D /

將得到的 1516.dmp 檔案使用 foremost 分離裡面的檔案,可以看到一個 zip 裡面有 flag.zip

flag

因為沒有環境了所以不知道對錯,但是感覺是錯的,我們之前得到的桌面上的 flag.zip 需要密碼,所以我們應該找到密碼。

後面發現一件文章 【CTF】利用volatility與Gimp實現Windows記憶體取證 - 個人文章 - SegmentFault 思否

可以利用 Gimp 開啟,檢視映象中的系統介面

使用 Gimp

將我們 memdump 的檔案,把字尾改成 .data 最後,拖入工具即可。

image-20240825234734-2pqs9ew

一開始是這樣子的,我們將它放大就行,然後設定影像型別為 RGB透明,這樣對比比較明顯,可以比較容易發現有效資訊,搜尋了一下 win7 的解析度,設定一下

image-20240825234533-sljmjvr

image-20240825234943-2l03b0q

然後就一直拖動位移就行,

image-20240825235118-i6fpqwr

這個位置可以看出來應該是有影像的,因為寬度不合適所以才這樣,調整寬度直至影像清晰就行,現在就很明顯了,繼續調就行

image-20240825235250-8vnbaox

拖動位移使影像居中,然後繼續調整寬度,可以得到清晰的影像。

image-20240826000213-ychtcbx

計算機上的數字應該是我們要利用的 132424464,直接去解壓縮吧,不行,我們直接使用 windows 外掛列印桌面視窗(詳細資訊)

python2 vol.py -f 'baby_misc.raw' --profile=Win7SP1x64 windows  | grep "132424464"

image-20240826002715-p1b08sj

最後在,16 進位制轉一下得到密碼, ^&G12BDd

flag:flag{fba99a87-2278-f175-5055-a47f5773c131}

相關文章