Volatility,內存取證工具,一直以來都很「清高」地以命令行方式「行走江湖」,徹底不顧本身「參數衆多」這個「爆炸」形象,有種「任我行」的味道,直接影響「我等小白」的用戶體驗。自2018年做者根據用戶需求開發了GUI界面以來,受到了熱烈地、普遍地歡迎,最近抽空升級改造,造成了目前的2.0版本。現結合一個CTF的內存取證題來作個功能講解。python
1、程序界面緩存
一眼看去,界面上功能衆多,眼花繚亂。我在這裏用「=======」進行功能分層隔離,介紹以下:微信
1)最上面一是Volatility程序的位置,畢竟做者只是作了個GUI,仍是要調用Volatility程序的;二是指定設置了外部插件的位置,能夠用python進行定製開發插件。工具
2)接下來的區域,一是內存鏡像文件的位置;二是內存鏡像中的操做系統;三是Volatility自帶的內部命令參數,做者做了每一個命令的中文說明,下拉框中能看到。加密
3)再接下來的區域,是導出文件類型和導出的文件名。spa
4)再下來的區域,是以上全部選項、命令的合成區域,將上面全部選擇的參數進行組合後造成的命令行,方便查看以及修改、添加命令參數。操作系統
5)最下面的是一個結果顯示區,將命令執行後的回顯結果展現出來。.net
2、CTF內存取證
插件
一、查看內存鏡像文件中的操做系統命令行
imageinfo命令,
這個命令能夠用來獲取內存鏡像的摘要信息,好比系統版本,硬件構架等。程序最下面紅框處給出告終果,可能爲64位的win7sp1x64等。
二、pslist命令:
pslist能夠直接列出運行的進程,若是進程已經結束,會在Exit列顯示日期和時間,代表進程已經結束。在這裏咱們發現有「cmd.exe」。
三、cmdscan命令,
這個命令是提取內存中保留的cmd命令使用狀況。咱們發現
存在flag.ccx文件且密碼和Administrator密碼相同。
四、filescan命令,
查找得知flag文件地址爲0x3e435890。在這裏,咱們在命令框中手動加入了「 | grep flag」,進行命令行的補充。
五、dumpfiles命令,
導出內存中緩存的目標文件,直接導出上面搜索flag獲得的flag.ccx文件。
六、printkey命令,
列出SAM表的用戶。
七、hivelist命令,
獲取System和ASM的虛擬地址,
八、hashdump命令,獲取用戶密碼的hash值,
-y (註冊表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)。
得知Administrator密碼的hash值爲0d546438b1f4c396753b4fc8c8565d5b。
解碼獲得ABCabc123
九、加密磁盤
在列進程時,發現有個「CnCrypt」的進程,這是個TC的加密磁盤工具。
加載那個flag.ccx文件,密碼已經知道了,上面有提示,同administrator相同啊。
獲得了flag。
到此,這個CTF內存取證的分析題作完了。回味下,Volatility確實強大無比。
本文分享自微信公衆號 - MicroPest(gh_696c36c5382b)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。