内存取证CTF-Memlabs靶场4

1.挑战说明

 

我的系统最近遭到入侵。黑客窃取了很多信息,但他也删除了我的一个非常重要的文件。我不知道如何恢复它。目前,我们唯一的证据就是这个内存转储。请帮帮我。

注意:此挑战仅由1个标志组成。 

本练习的标志格式为:inctf{s0me_l33t_Str1ng}

靶机地址:https://github.com/stuxnet999/MemLabs/tree/master/Lab%204

2.Flag获取过程

2.1 识别内存镜像的操作系统

vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw imageinfo

内存取证CTF-Memlabs靶场4

2.2 获取进程

vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 pslist

发现浏览器进程,可以尝试获取一下历史记录

内存取证CTF-Memlabs靶场4

2.3 获取IE历史记录

iehistory插件能够恢复IE历史索引的片段.dat缓存文件,看到几个疑似Flag相关文件,secrets.txtflag.txt.txtImportant.txt.txt

vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 iehistory

内存取证CTF-Memlabs靶场4

内存取证CTF-Memlabs靶场4

2.4 尝试提取敏感文件

在文件检索时,只能够检索到三个文件,且只有FXSAPIDebugLogFile.txt提取成功,其余的全部失败

vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 filescan |grep txt
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 filescan |grep png
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e88a8c0 -D ../memlabs/lab4
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fc398d0 -D ../memlabs/lab4
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fcb0070 -D ../memlabs/lab4
vol.py -f /root/Desktop/memlabs/lab4/MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e8d19e0 -D ../memlabs/lab4

内存取证CTF-Memlabs靶场4

2.5 对提取出的文件进行重命名并查看

在文件中检索fla,未发现有用信息

mv file.None.0xfffffa80022d1670.dat FXSAPIDebugLogFile.txt
vim FXSAPIDebugLogFile.txt

内存取证CTF-Memlabs靶场4

2.6 分析题意

我们无法转储文本文件的原因是被黑客删除,在这里我们需要了解MFT表,NTFS文件系统包含一个称为主文件表或MFT,对于NTFS文件系统卷上每个文件,MFT中至少有一个条目,且文件大小在小于等于1024字节会直接存储在MFT表,如果超过1024字节,则该表将仅包含其位置信息。

我们在MFT表中搜索:Important.txt、Screenshot1.png,发现Important.txt有data数据,Screenshot1.png无data数据

内存取证CTF-Memlabs靶场4

内存取证CTF-Memlabs靶场4

2.7 获取Flag

将.全部替换为空值,得到内容为:inctf{1_is_n0t_EQu4l_7o_2_bUt_th1s_d0s3nt_m4ke_s3ns3}Goodwork:P

最终Flag为:inctf{1_is_n0t_EQu4l_7o_2_bUt_th1s_d0s3nt_m4ke_s3ns3}

内存取证CTF-Memlabs靶场4

上一篇:git 使用教程v2


下一篇:windows漏洞扫描工具-windowsvulnscan和wesng,本质是比较windows系统版本、systeminfo补丁信息来查看漏洞利用情况