【CTF】利用volatility與Gimp實現Windows內存取證

時間 2019-11-09

標籤 CTF 利用 volatility gimp 實現 windows 內存取證欄目 Windows 简体版

原文原文鏈接

0x01 題目要求

題目提供了一個大小爲256MB的內存鏡像，顯然咱們須要從當中找到一些有趣的東西。html

既然是內存取證，首先就想到一個強大的取證工具——volatilitygit

該工具在kali當中已集成，位於應用程序->數字取證->volatility。github

下面就針對該鏡像，記錄一下使用該工具進行內存取證的過程。windows

volatility命令手冊： https://github.com/volatility...
我這裏只列舉一些經常使用的命令bash

volatility -f mem.data imageinfo

關鍵看Suggested Profile(s)項，這裏是工具判斷該鏡像的架構，同時也會提供相應架構的命令用於分析該鏡像，本題中可能性最大的架構是Win7SP1x64，而後在調用命令時加上--profile=Win7SP1x64就能夠了，繼續往下看。網絡

volatility -f mem.data --profile=Win7SP1x64 --help

經常使用的命令以下：架構

首先咱們要看一下出題人在鏡像裏幹了什麼。工具

volatility -f mem.data --profile=Win7SP1x64 pslist

能夠看到這裏有3個應用程序進程，分別是：wordpad寫字板 MineSweeper掃雷 mspaint畫圖，並且再看看啓動時間，mspaint相隔以後的進程有長達10分鐘時間，emmm，出題人應該是就在這段時間寫的flag。接下來咱們就看一下有沒有什麼可疑的文件留存。測試

查看文檔google

volatility -f mem.data --profile=Win7SP1x64 filescan | grep "doc\|docx\|rtf"

沒有。。。

查看圖片

volatility -f mem.data --profile=Win7SP1x64 filescan | grep "jpg\|jpeg\|png\|tif\|gif\|bmp"

也沒有。。。

查看桌面

volatility -f mem.data --profile=Win7SP1x64 filescan | grep "Desktop"

難道出題人還用掃雷來作個圖？？？（開個玩笑）

看來flag並無保存爲文件，看看有沒有其餘突破口。

volatility -f mem.data --profile=Win7SP1x64 screenshot --dump-dir=./

導出的圖片以下

說實話我根本看不出來這是個什麼界面。。。

查看命令行輸入

volatility -f mem.data --profile=Win7SP1x64 cmdline

查看系統用戶名

volatility -f mem.data --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"

查看網絡鏈接

volatility -f mem.data --profile=Win7SP1x64 netscan

在作了不少無用功以後，只能去求助Google了，結果搜出來2篇文章，比較有參考價值：

google-ctf-2016-forensic1： https://www.rootusers.com/goo...
從內存導出raw圖片： https://w00tsec.blogspot.com/...

上述文章介紹了一種方法，經過利用volatility將進程內存dump下來，而後利用Gimp打開內存數據，查看鏡像中的系統界面，因而咱們開始實施。

使用volatility dump內存：（2768是mspaint的pid）

volatility -f mem.data --profile=Win7SP1x64 memdump -p 2768 --dump-dir=./