2018護網杯——easy_dump
題目:php
連接: https://pan.baidu.com/s/1IdhDQAv02nAz0H211BoVgA 提取碼: axgphtml
作題時看到下載下來的600m,懵逼中,看到是img鏡像文件固然想到的是利用diskgenuis恢復文件找特別文件再進行解密。linux
一直作不出,是我想的太簡單了,昨天看了大佬寫的wp,滿懷敬佩的心復現一下windows
參考i春秋大佬:lem0n 網絡
實驗用到的工具:框架
kali 滲透測試系統工具
easy_dump.img 內存鏡像oop
Volatility Framework 內存取證工具post
TestDisk 文件恢復工具測試
Volatility Framework:
volatility 框架是一款用於易失性內存取證的重量級框架。在該框架下咱們能夠完成許多取證的操做,獲取咱們想取得的信息。其支持的操做系統也很是普遍,同時支持 windows , linux, Mac OSX,甚至也支持 Android 手機使用ARM處理器的取證。所以,它也是全部網絡取證愛好者的必學框架。
volatility 使用: volatility -f <文件名> -–profile=<配置文件> <插件> [插件參數] 經過volatility --info獲取工具所支持的profile,Address Spaces,Scanner Checks,Plugins 經常使用插件: imageinfo:顯示目標鏡像的摘要信息,知道鏡像的操做系統後,就能夠在 –profile 中帶上對應的操做系統 pslist:該插件列舉出系統進程,但它不能檢測到隱藏或者解鏈的進程,psscan能夠 psscan:能夠找到先前已終止(不活動)的進程以及被rootkit隱藏或解鏈的進程 pstree:以樹的形式查看進程列表,和pslist同樣,也沒法檢測隱藏或解鏈的進程 mendump:提取出指定進程,經常使用foremost 來分離裏面的文件 filescan:掃描全部的文件列表 hashdump:查看當前操做系統中的 password hash,例如 Windows 的 SAM 文件內容 svcscan:掃描 Windows 的服務 connscan:查看網絡鏈接
利用 volatility -f easy_dump.img imageinfo查看鏡像信息
根據Suggested Profile(s)值猜想他是Win7SP1x64,因此利用--profile=Win7SP1x64
而後利用volatility -f easy_dump.img --profile=Win7SP1x64 psscan查看全部進程,經過全部進程來查看是否有可疑進程出現,進行進一步取證。
發現一個可疑進程,dumpit.exe
那就把它分離提取下來volatility -f '/root/Desktop/easy_dump.img' --profile=Win7SP1x64 memdump -p 2500 -D ./
看下這個進程有啥隱藏文件否,發現裏面有個message.img
繼續分析img文件,binwalk,foremost分析提取分離其中的文件,發現一個hint.txt
一堆座標,利用腳本或者工具gnuplot可解出一個二維碼
識別結果:Here is the vigenere key: aeolus, but i deleted the encrypted message。
根據提示說用了vigenere而且key爲aeolus,可是他刪除了信息...
那麼接下來就要用到testdisk /dev/loop0來進行文件恢復。
獲得message.swp,源碼獲得一串密文
根據hint可知道是維吉尼亞加密,上面已獲得key和密文,利用腳本進行解密便可
腳本以下
連接: https://pan.baidu.com/s/1ziHmHdSeQcVD03nbf-V4tA 提取碼: 5x4w