记一次内存取证

2023-12-18 16:18:14

第一问请提交内存中恶意进程的名称

先查看内存文件的系统

直接pslist查看

这个进程的仔细看,发现是proshe11,不是proshell,花园她的子进程就等于另一个父进程,都是嫌疑,别的没有啥,就它了

还有看到他父进程大于子进程的也是有嫌疑

powershe11.exe

第二问请提交恶意进程写?的?件名称(不含路径)

把恶意进程导出来查看

strings分析导入1.txt文件里面

太多了,我分析个狗屎,既然是写入文件,就看一下桌面文件,看一下常规的对象txt,jpg等等

框内都是vm虚拟机的,不用看,先看一下txt文件最可能被写入东西,到导出来查看

里面有内容,如果是被写入的话,在进程里面肯定也有写入内容的演示,复制下来在恶意进程里面搜索一下

果然有写入的,

hilyary.txt

第三问请提交admin账户的登录密码

看hash值,然后复制下来admin的那一段,拿去john爆破出来密码

先写入到一个txt文件

可是爆破她。

因为之前做题的时候已经爆破过一次了,所以要先删除john的缓存,不然在爆破就不显示密码

rm -rf ~/.john/john.pot????????

成功爆出密码123456

4.请提交攻击者创建的账户名称

这是全部的用户,带有$的是隐藏以后,攻击者都行把用户隐藏,所以他的可能性挺大,但是他是一个家庭用户,不是黑客创建的。

之后黑客肯定不行想自己的用户在登录的时候被看到,所以就要看注册表,找登录时候不显示的用户

根据提示一步一步查看注册表,找到隐藏用户的地方

找到了

Price

5.请提交在桌?某?件中隐藏的flag信息,格式:flag{...}

这种可能性比较的大的分析就是看浏览器记录或者历史命令

看看桌面上也没有,把它导出来看看

然后strings分析配合grep查询

flag{welc0me_to_2023_chinaskills}
?

fa

cai

文章来源:https://blog.csdn.net/san3144393495/article/details/135057075
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。