内存取证系列1

文档说明

作者:SwBack
时间:2022-5-5 11:05

挑战说明

• 我姐姐的电脑坏了。我们非常幸运地恢复了这个内存转储。你的工作是从系统中获取她所有的重要文件。根据我们的记忆，我们突然看到一个黑色的窗口弹出，上面有一些正在执行的东西。坠机发生时，她正试图画一些东西。这就是我们从坠机时所记得的一切。

注意： 此挑战由 3 个标志组成。

• My sister’s computer crashed. We were very fortunate to recover this memory dump. Your job is get all her important files from the system. From what we remember, we suddenly saw a black window pop up with some thing being executed. When the crash happened, she was trying to draw something. Thats all we remember from the time of crash.
  Note: This challenge is composed of 3 flags.

解题过程

flag1

从题目中提取关键信息

黑色窗口 疑似cmd.exe 画一些东西(疑似画图工具) 存在重要文件(需要扫描文件)

查看内存镜像

volatility -f MemoryDump_Lab1.raw imageinfo

查看进程 发现cmd.exe

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 pslist

扫描命令及输出 发现base64编码

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdscan

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 consoles

解码base64 获得第一个flag

echo "ZmxhZ3t0aDFzXzFzX3RoM18xc3Rfc3Q0ZzMhIX0=" |base64 -d

flag2

进程存在画图工具mspaint.exe

提取数据

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 memdump -p 2424 -D ./

使用gimp打开(第三方工具,可以复原图像)

调整宽高

flag2

flag3

进程中存在WinRAR.exe 获取解压文件名

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dlllist |grep WinRAR

获取解压文件虚拟地址

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 filescan |grep Important

提取压缩包

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fa3ebc0 -D ./

得到压缩包密码提示

获取hash

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 hashdump

得到flag3