最近参加了45届世界技能大赛的山东选拔赛,样题里有一个题如下: 师傅好不容易拿到了压缩包的密码,刚准备输入,电脑蓝屏 了... = =",题意简单明了,易于理解.一看就是内存取证的题并且已经有了内存转储文件了. 废话不多说,拿到hint就开始动手吧,先把文件下载下来,发现是一个7z的压缩包,放进kali解压 解压以后得到一个flag,看样子这个就是内存转储文件了,直接用volatility分析一下 volatility -f flag imageinfo 系统信息为WinXPSP2x86 获得系…

工具下载: Linux环境 apt-get install volatility 各种依赖的安装,(视情况安装) #Distorm3:牛逼的反编译库 pip install distorm3 ​ #Yara:恶意软件分类工具 pip install yara ​ #PyCrypto:加密工具集 pip install pycrypto ​ #PIL:图片处理库 pip install pil ​ #OpenPyxl:读写excel文件 pip install openpyxl ​ #ujson:…

内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : WinXPSP2x86, WinX…

苹果内存取证工具volafox volafox是一款针对苹果内存取证的专用工具.该工具使用Python语言编写.该工具内置了overlay data数据,用户可以直接分析苹果10.6-10.11的各种内存镜像文件.该工具提供28个子命令,用来完成各种功能,如获取挂载的文件系统.任务列表.系统调用表.EFI系统表.主机名.网络Socket列表.进程列表等.同时,该工具提供几种子命令,用于检查内存中是否存在恶意程序.…

命令翻译 linux_apihooks - 检查用户名apihooks linux_arp - 打印ARP表 linux_aslr_shift - 自动检测Linux aslr改变 linux_banner - 打印Linux Banner信息 linux_bash - 从bash进程内存中恢复bash历史记录 linux_bash_env - 恢复一个进程的动态环境变量 linux_bash_hash - 从bash进程内存中恢复bash哈希表 linux_check_afinfo - 验证网…

题目是一个raw的镜像文件 用volatility搜索一下进程 有正常的notepad,msprint,还有dumpit和truecrypt volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory 查看ie历史的时候有一个百度网盘的连接但是没有密码 提示放出了 记事本 但是查notepad实在是没有什么收获 上取证大师 这就很好用,恢复一下格式化了的数据,直接搜索txt后缀找到了提取码 本来以为这题目就差不多了 然后又下载下来一个加密…

volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volati…

0x00 ext3 linux挂载光盘,可用7zip解压或者notepad搜flag,base64解码放到kali挂载到/mnt/目录 mount 630a886233764ec2a63f305f318c8baa /mnt/ cd /mnt/ ls 寻找 find | grep 'flag' 或 find -name 'flag*'查看 cat ./O7avZhikgKgbF/flag.txt eg:查找key.txt这些文件里是否存在grep -r ‘key.txt’ 显示在1文件,看文件类型…

目录 题目汇总 Reverse 签到题 Web Web中等难度 Crypto 基础网站 各类工具 综合 Web Payloads 逆向 Pwn 取证 题目汇总 这里收集了我做过的CTF题目 Reverse 签到题 Google Capture The Flag 2018 (Quals) - Reverse - Beginner's Quest - Gatekeeper 用strings直接查找字符串就能做的题 Google Capture The Flag 2018 (Quals) - Begi…

Kali Linux 秘籍 中文版 第一章 安装和启动Kali 第二章 定制 Kali Linux 第三章 高级测试环境 第四章 信息收集 第五章 漏洞评估 第六章 漏洞利用 第七章 权限提升 第八章 密码攻击 第九章 无线攻击 Kali Linux 网络扫描秘籍 中文版 第一章 起步 第二章 探索扫描 第三章 端口扫描 第四章 指纹识别 第五章 漏洞扫描 第六章 拒绝服务 第七章 Web 应用扫描 第八章 自动化 Kali 工具 Kali Linux Web 渗透测试秘籍 中文版 第一章 配置…

环境:kali 0x00 volatility官方文档 https://github.com/volatilityfoundation/volatility 在分析之前,需要先判断当前的镜像信息,分析出是哪个操作系统 volatility imageinfo -f Advertising\ for\ Marriage.raw 知道镜像后,就可以在 –profile 中带上对应的操作系统(我不加也行emmm,严谨点就加吧) 0x01 列出进程列表 volatility pslist -f Adve…

来源:Unit 5: Windows Acquisition 5.1 Windows Acquisition Windows Memory Acquisition and Analysis 调查人员检查物理内存内容,以检测恶意进程.威胁和内存驻留恶意软件,以恢复密码和获取密钥. 伏笔:rootkit,root代表最高权限,kit表示软件.合起来,最高权限的软件.如果存在恶意rootkit,利用它可以运行指令将进程与一些显示进程列表接口的函数切断关联隐藏起来,你在任务管理器里看不见.这东西的危害,…

知识源:Unit 2: Linux/Unix Acquisition 2.1 Linux/Unix Acquistion Memory Acquisition 中的实验demo部分  小白注意,这是网络安全RITx: CYBER502x 部分的内容. 19年1月初,该系列课程会推出501x,这是面向入门的基础性课程. 不要错误讲座的直观体验而阅读我的笔记.这是错误的学习行为,一切已原创为重点. 这里使用Linux Unix内存转储工具,称为Lime. 进入lime目录    这么做的目的是把捕获…

i春秋作家:lem0n 原文来自:浅谈内存取证 0x00 前言 网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据.详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了…

0 初衷 GitHub这一份黑客技能列表很不错,包含了多个方向的安全.但目前我关注只有逆向工程与恶意代码,所以其他的被暂时略过. 虽然很感谢作者的辛勤付出,但并不打算复制粘贴全套转载.逐条整理是为了从大量资源里梳理出自己觉得实用性很高的东西. <Awesome-Hacking> https://github.com/Hack-with-Github/Awesome-Hacking Awesome Hacking系列-恶意代码分析 恶意软件分析:包括恶意软件收集.开源威胁情报.检测.沙箱等 ht…

前言 在上一篇中,我们讲解了哈勃沙箱的技术点,详细分析了静态检测和动态检测的流程.本篇接着对动态检测的关键技术点进行分析,包括strace,sysdig,volatility.volatility的介绍不会太深入,内存取证这部分的研究还需要继续. strace机制 上一篇讲到了strace和ltrace都是基于ptrace机制,但是对ptrace机制和strace/ltrace是如何利用ptrace监控系统调用,没有进行详细的讲解.   那什么是ptrace机制呢? ptrace机制是操作系统提…

## 1.取证工具 - LiME 内存获取工具 - volatility 内存分析工具 ## 2.机器信息收集 #sysinfo 16 # # 查看当前登录用户 who > who.txt # # 显示目前登入系统的用户信息 w > w.txt # # 显示时间 date > date.txt # # 查看CPU信息 cat /proc/cpuinfo > cpuinfo.txt # # 查询系统版本 lsb_release -a > lsb_release.txt # #…

CTF-安恒19年一月月赛部分writeup MISC1-赢战2019 是一道图片隐写题 linux下可以正常打开图片,首先到binwalk分析一下. 里面有东西,foremost分离一下 有一张二维码,扫一下看看 好吧 不是flag,继续分析图片,在winhex没有发现异常,那么上神器StegSolve分析一下 第一次翻了一遍图层没发现,眼瞎第二次才看见 flag{You_ARE_SOsmart} 提交md5即可 MISC2-memory 内存取证 既然是内存取证直接上volatility 首…

Base64? 题目描述: GUYDIMZVGQ2DMN3CGRQTONJXGM3TINLGG42DGMZXGM3TINLGGY4DGNBXGYZTGNLGGY3DGNBWMU3WI=== Base32解码得到 504354467b4a7573745f743373745f683476335f66346e7d 貌似是十六进制,hackbar直接转换得到flag PCTF{Just_t3st_h4v3_f4n} 关于USS Lab 题目描述: USS的英文全称是什么,请全部小写并使用下划线连接_,并…

Windows应急事件 病毒.木马.蠕虫 Web服务器入侵事件或第三方服务入侵事件 系统入侵事件 网络攻击事件(DDOS.ARP.DNS劫持等) 通用排查思路 获知异常事件基本情况 发现主机异常现象的时间点和发现者 异常现象 受害用户的应急举措 异常原因 可能的入侵思路 可能存在的痕迹 获取Windows基本信息 机器名称 操作系统版本 OS安装时间 启动时间 域名 补丁安装情况 计算机的详细信息 检查相关日志 Windows日志位置: Windows /Server2003/Windows X…

BlackArch-Tools 简介 安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 BlackArch Linux是针对渗透测试人员和安全研究人员的基于Arch Linux的渗透测试分发版.BlackArch Linux预装有上千种专用工具以用于渗透测试和计算机取证分析.BlackArch Linux与现有的Arch安装兼容.您可以单独或成组安装工具.https://blackar…

web1 打开提就是源码审计 考点:反序列化POP链.反序列化字符串逃逸 show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { return str_replace('\0\0\0', chr(0) . '*' . chr(0), $data); } class A{ pu…

Kali是BackTrack的升级换代产品,按照官方网站的定义,Kali Linux是一个高级渗透测试和安全审计Linux发行版.作为使用者,我简单的把它理解为,一个特殊的Linux发行版,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用.也可称之为平台或者框架. 作为Linux发行版,Kali Linux是在BackTrack Linux的基础上,遵循Debian开发标准,进行了完全重建.并且设计成单用户登录,root权限,默认禁用网络服务. 下面我们来看看Kali自带的…

1如果您之前使用过或者了解BackTrack系列Linux的话,那么我只需要简单的说,Kali是BackTrack的升级换代产品,从Kali开始,BackTrack将成为历史. 如果您没接触过BackTrack也没关系,我们从头开始了解Kali Linux. 按照官方网站的定义,Kali Linux是一个高级渗透测试和安全审计Linux发行版.作为使用者,我简单的把它理解为,一个特殊的Linux发行版,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用.也可称之为平台或者框架…

一.说明 各工具kali官方简介(竖排):https://tools.kali.org/tools-listing 安装kali虚拟机可参考:https://www.cnblogs.com/lsdb/p/6500757.html pentestbox:虚拟机还是比较耗内存的,内存不够可以试试pentestbox,从功能上可以理解为运行在windows上的kali发行版,kali主流工具它都具备.官方下载页面似乎有点问题,可直接到其sourceforge主页下载.另外注意可能是因为metasplo…

1.1 Kali Linux简介 如果您之前使用过或者了解BackTrack系列Linux的话,那么我只需要简单的说,Kali是BackTrack的升级换代产品,从Kali开始,BackTrack将成为历史. 如果您没接触过BackTrack也没关系,我们从头开始了解Kali Linux. 按照官方网站的定义,Kali Linux是一个高级渗透测试和安全审计Linux发行版.作为使用者,我简单的把它理解为,一个特殊的Linux发行版,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计…

各工具kali官方简介(竖排):https://tools.kali.org/tools-listing 名称 类型 使用模式 功能 功能评价 dmitry 信息收集   whois查询/子域名收集/端口扫描 whois并不简单明了:子域名和邮箱依赖google:端口扫描速度一般 dnmap 信息收集   用于组建分布式nmap,dnmap_server为服务端:dnmap_client为客户端 用起来并不是那么方便,不是实在不行不是很必要 ike-scan 信息收集   收集ipsec vpn…

对kali上的软件进行一个初步的认识 信息收集 dmitry -o 将输出保存到%host.txt或由-o文件指定的文件 -i 对主机的IP地址执行whois查找 -w 对主机的域名执行whois查找 -n 在主机上检索Netcraft.com信息 -s 执行搜索可能的子域 -e 执行搜索可能的电子邮件地址 -p 在主机上执行TCP端口扫描 * -f 在显示输出报告过滤端口的主机上执行TCP端口扫描 * -b 读取从扫描端口接收的banner * -t 0-9扫描TCP端口时设置TTL(默认为2…

APT是指高级持续性威胁, 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集. 高级持续渗透后门是指高级持续性后渗透权限长期把控,利用先进的后渗透手段对特定目标进行长期持续性维持权限的后攻击形式,高级持续渗透后门的原理相对于其他后门形式更为高级和先进,其高级性主要体现在持续渗透后门在发动持续性权限维持之前需要对攻击对象的业务流程和目标系统进行精确的…

askDing Life is short,use python 博客园 | 首页 | 新随笔 | 新文章 | 联系 | 订阅 | 管理 随笔: 326 文章: 5 评论: 4 引用: 0 kali菜单中各工具功能 kali菜单中各工具功能 一.说明 各工具kali官方简介(竖排):https://tools.kali.org/tools-listing 安装kali虚拟机可参考:https://www.cnblogs.com/lsdb/p/6500757.html pentestbox:虚拟机…