记一道2023年江苏省数据安全竞赛-决赛的内存取证

发布于 2024-08-01  63 次阅读


先判断是什么系统

.\volatility.exe -f .\MemoryLife.raw imageinfo

Win7SP1x64

1.请给出内存镜像中黑客使用工具对外连接的IP地址及端口号是___________。(格式为IP_PORT)

.\volatility.exe -f .\MemoryLife.raw --profile=Win7SP1x64 netscan

有一个nc连接192.168.233.1:54266

2.请给出内存镜像中用户BGS-Chenyi的开机密码___________。

插件拿不到密码

使用工具 Passware Kit Forensic

abc123456

3.黑客工具里的LOGONSERVER环境变量值是___________。

这里的黑客工具应该就是指的是第一题中的nc.exe,把它dump下来

.\volatility.exe -f .\MemoryLife.raw --profile=Win7SP1x64 pslist
.\volatility.exe -f .\MemoryLife.raw --profile=Win7SP1x64 memdump -p 3036 -D ./

用010直接搜索

BGS-CHENYJ-PC

4.请给出内存镜像中屏幕里的内容___________。

python2 vol.py -f MemoryLife.raw --profile=Win7SP1x64 screenshot --dump-dir ./

就一张图有内容,但没有什么利用价值

查看进程信息,发现了一个mspaint,dump下来用gimp查看内容

要把后缀改成.data才能导入到gimp

在宽度为576的时候可以看到有字符,是倒立的

镜像+旋转就正常了

gydk5sp

5.请给出wps.ini最后的修改时间_____________。(格式为YYYY-MM-DD_hh:mm:ss_+0000)

恢复被删除的文件,也可以用来查看被修改的文件,东西很多把关于wps的过滤出来

.\volatility.exe -f .\MemoryLife.raw --profile=Win7SP1x64 mftparser | findstr "wps"

2023-09-19_03:31:27_+0000

题目链接:
链接: https://pan.baidu.com/s/1vhUj-224caQn_A9csjpdxg 提取码: ayvm


Defend with determination