weixin_40725706

这个屌丝很懒，什么也没留下！

热门标签

第二周——学习内存取证神器volatility的使用_volatility gimp

作者：weixin_40725706 | 2024-05-12 01:08:03

踩

volatility gimp

第二周——内存取证神器volatility的使用

volatility -f mem.raw imageinfo#这个命令可以用来获取内存镜像的摘要信息，比如系统版本，硬件构架等
1

在这里插入图片描述

第一个就是最有可能的镜像文件的版本，最可能是Win7SP1x86_23418

Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (/root/桌面/mem.raw)
                      PAE type : PAE
                           DTB : 0x185000L
                          KDBG : 0x8176bbe8L#调试工具
          Number of Processors : 2
     Image Type (Service Pack) : 0
                KPCR for CPU 0 : 0x8176cc00L#ring3下，fs寄存器的指向TEB，ring0下，fs寄存器指向KPCR，KPCR即Kernel Processor Control Region，处理器控制区域，因为Windows是需要支持多个CPU的，所以为每一个CPU在内核空间安排一个KPCR的结构
                KPCR for CPU 1 : 0x807ec000L
             KUSER_SHARED_DATA : 0xffdf0000L#内核共享区
           Image date and time : 2020-02-18 19:56:24 UTC+0000
     Image local date and time : 2020-02-19 03:56:24 +0800
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

pslist可以直接列出运行的进程，如果进程已经结束，会在Exit列显示日期和时间，表明进程已经结束

volatility -f mem.raw  --profile=Win7SP1x86_23418 pslist
1

在这里插入图片描述

0x829af8c0 System                    4      0    101      479 ------      0 2020-02-18 19:52:20 UTC+0000                                 
0x83c4d948 smss.exe                280      4      2       30 ------      0 2020-02-18 19:52:20 UTC+0000                                 
0x83cc8030 csrss.exe               376    352      9      453      0      0 2020-02-18 19:52:20 UTC+0000                                 
0x844e4d40 wininit.exe             432    352      3       79      0      0 2020-02-18 19:52:20 UTC+0000                                 
0x844d9608 csrss.exe               440    424     10      311      1      0 2020-02-18 19:52:20 UTC+0000                                 
0x84d59d40 services.exe            488    432      7      209      0      0 2020-02-18 19:52:21 UTC+0000                                 
0x8466f030 lsass.exe               520    432      7      595      0      0 2020-02-18 19:52:21 UTC+0000                                 
0x8466f600 lsm.exe                 528    432     10      146      0      0 2020-02-18 19:52:21 UTC+0000                                 
0x8465e3b0 winlogon.exe            536    424      4      115      1      0 2020-02-18 19:52:21 UTC+0000                                 
0x846af568 svchost.exe             668    488     10      356      0      0 2020-02-18 19:52:21 UTC+0000                                 
0x846c0728 svchost.exe             740    488      8      285      0      0 2020-02-18 19:52:21 UTC+0000                                 
0x8861ead8 svchost.exe             804    488     21      467      0      0 2020-02-18 19:52:21 UTC+0000                                 
0x846e6300 svchost.exe             860    488     23      487      0      0 2020-02-18 19:52:21 UTC+0000                                 
0x846edb38 svchost.exe             884    488     39      988      0      0 2020-02-18 19:52:21 UTC+0000                                 
0x847315c0 audiodg.exe             988    804      7      132      0      0 2020-02-18 19:52:21 UTC+0000                                 
0x8475d728 svchost.exe            1060    488     15      557      0      0 2020-02-18 19:52:21 UTC+0000                                 
0x846a4740 WUDFHost.exe           1164    860      9      202      0      0 2020-02-18 19:52:22 UTC+0000                                 
0x847913f8 svchost.exe            1260    488     17      382      0      0 2020-02-18 19:52:22 UTC+0000                                 
0x846a8348 spoolsv.exe            1372    488     13      300      0      0 2020-02-18 19:52:22 UTC+0000                                 
0x84805318 svchost.exe            1432    488     20      314      0      0 2020-02-18 19:52:22 UTC+0000                                 
0x848104a8 taskhost.exe           1480    488     10      211      1      0 2020-02-18 19:52:22 UTC+0000                                 
0x84648560 taskeng.exe            1536    884      5       76      0      0 2020-02-18 19:52:23 UTC+0000                                 
0x84885348 imdsksvc.exe           1720    488      3       41      0      0 2020-02-18 19:52:23 UTC+0000                                 
0x848a3d40 coherence.exe          1760    488      6       62      0      0 2020-02-18 19:52:23 UTC+0000                                 
0x848a8b38 prl_tools_serv         1796    488     11      160      0      0 2020-02-18 19:52:23 UTC+0000                                 
0x848b2728 dwm.exe                1832    860      4       73      1      0 2020-02-18 19:52:23 UTC+0000                                 
0x848c52e8 coherence.exe          1840   1760      4       40      1      0 2020-02-18 19:52:23 UTC+0000                                 
0x848ca878 dllhost.exe            1880    488      8       97      0      0 2020-02-18 19:52:23 UTC+0000                                 
0x848df648 prl_tools.exe          1904   1796     10      144      1      0 2020-02-18 19:52:23 UTC+0000                                 
0x848e4578 explorer.exe           1964   1808     31      873      1      0 2020-02-18 19:52:23 UTC+0000                                 
0x84871b10 dllhost.exe             824    488     17      204      0      0 2020-02-18 19:52:24 UTC+0000                                 
0x8486cd40 svchost.exe             696    488     11      307      0      0 2020-02-18 19:52:24 UTC+0000                                 
0x848b3a00 prl_cc.exe             2204   1904     32      385      1      0 2020-02-18 19:52:24 UTC+0000                                 
0x84992d40 msdtc.exe              2536    488     15      155      0      0 2020-02-18 19:52:25 UTC+0000                                 
0x83940728 sppsvc.exe             2792    488      4      148      0      0 2020-02-18 19:52:28 UTC+0000                                 
0x839cab10 SearchIndexer.         2868    488     13      588      0      0 2020-02-18 19:52:30 UTC+0000                                 
0x83c0ad40 TrueCrypt.exe          3364   3188      7      388      1      0 2020-02-18 19:52:44 UTC+0000                                 
0x837f5d40 notepad.exe            3552   1964      2       61      1      0 2020-02-18 19:53:07 UTC+0000                                 
0x82a7e568 iexplore.exe           3640   1964     16      468      1      0 2020-02-18 19:53:29 UTC+0000                                 
0x847c8030 iexplore.exe           3696   3640     25      610      1      0 2020-02-18 19:53:29 UTC+0000                                 
0x848a7030 mspaint.exe            2648   1964     18      383      1      0 2020-02-18 19:54:01 UTC+0000                                 
0x82b8bd40 svchost.exe            1660    488      7      112      0      0 2020-02-18 19:54:01 UTC+0000                                 
0x83bf0030 mscorsvw.exe           2908    488      7       75      0      0 2020-02-18 19:54:24 UTC+0000                                 
0x82bf4d40 dllhost.exe             628    668      6       86      1      0 2020-02-18 19:56:22 UTC+0000                                 
0x82bf4768 dllhost.exe            1728    668      6       81      0      0 2020-02-18 19:56:22 UTC+0000                                 
0x83922030 DumpIt.exe             1500   1964      2       39      1      0 2020-02-18 19:56:22 UTC+0000                                 
0x82bf3408 conhost.exe            1872    440      2       51      1      0 2020-02-18 19:56:22 UTC+0000                                 
0x82b85b40 WMIADAP.exe            1120    884      6       91      0      0 2020-02-18 19:56:23 UTC+0000                                 
0x82a9fb38 WmiPrvSE.exe            684    668      8      119      0      0 2020-02-18 19:56:24 UTC+0000 


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51

可疑进程：

TrueCrypt.exe
notepad.exe
iexplore.exe
mspaint.exe
DumpIt.exe
1
2
3
4
5

volatility -f mem.raw --profile=Win7SP1x86_23418 filescan |grep "doc\|docx\|txt"
1

一开始以为和文本有关，尝试列出文本文件的进程

在这里插入图片描述

看到有个baidu[1].txt，提取出来打开看看

提取命令：

volatility -f mem.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001ea59620 -D ./ -u
在这里插入图片描述

没有有效信息

根据提示，可能在记事本里，dump notepad.exe

volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 -D./
1

取出来，扔winhex里找，因为之前提到了baidu，所以着重搜baidu

在这里插入图片描述

找到一个百度网盘的链接，但是需要提取码

想到找IE的浏览记录

volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory
1

发现有一个可疑的文件share.txt

在这里插入图片描述

用volatility -f mem.raw --profile=Win7SP1x86_23418 filescan |grep Desktop查看，
在这里插入图片描述

列出来的文件中没有这个share.txt，应该是被删除了。

这时候可以用取证大师恢复，也可以用一个自带的插件mftparser

volatility -f mem.raw --profile=Win7SP1x86_23418 mftparser > mftoutput.txt
1

查看导出的文本文档

strings mftoutput.txt | grep -A 20 share.txt
1

在这里插入图片描述

查看删除的文件，可以复制16进制转字符，这里直接就能看出密码是heem

下载下来是一个文件VOL，啥也看不出来，想到一开始那个进程，猜VOL文件是用TrueCrypt加密的虚拟磁盘文件

dump TrueCrypt进程

volatility -f mem.raw --profile=Win7SP0x86 memdump -p 3364 --dump-dir=./ 
1

到网上查可以用EFDD解key
在这里插入图片描述

uOjFdKu1jsbWI8N51jsbWI8N5

用veracrypt挂载

挂载步骤：

1.打开VeraCrypt软件
2.加载下载好的容器文件
3.选择一个盘符（如：K盘），然后点击左下角的“加载”
4.输入密码对话框中，输入密码:............
1
2
3
4

在这里插入图片描述

发现压缩包，需要密码

在这里插入图片描述

volatility -f mem.raw --profile=Win7SP1x86_23418 filescan |grep -E 'jpg|png|jpeg|bmp|gif'
1

在这里插入图片描述

用GIMP处理，位移（好像就是长度），先加宽度，再加高度，然后位移大胆拖，然后慢慢调宽
在这里插入图片描述

1YxfCQ6goYBD6Q
1

这里看不清的话可以选择用掩码爆破，得到flag

在这里插入图片描述

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/weixin_40725706/article/detail/556919