码迷,mamicode.com
首页 > 其他好文 > 详细

volatility内存取证

时间:2018-12-30 02:36:41      阅读:226      评论:0      收藏:0      [点我收藏+]

标签:file   就是   题意   系统   剪切板   山东   clipboard   密码   hint   

最近参加了45届世界技能大赛的山东选拔赛,样题里有一个题如下:

师傅好不容易拿到了压缩包的密码,刚准备输入,电脑蓝屏 了。。。

= =",题意简单明了,易于理解。一看就是内存取证的题并且已经有了内存转储文件了。

废话不多说,拿到hint就开始动手吧,先把文件下载下来,发现是一个7z的压缩包,放进kali解压

解压以后得到一个flag,看样子这个就是内存转储文件了,直接用volatility分析一下

volatility -f flag imageinfo

系统信息为WinXPSP2x86

获得系统信息就开始查师傅的压缩包密码,题意说刚准备输入,说明这个passwd当前已经打开过了,或者已经在剪切板里存放

先看一下剪切板中有没有数据

volatility -f flag --profile=WinXPSP2x86 clipboard

结果得到了一串数据,分析以后发现有一条数据疑似passwd,copy下来

现在有了密码,但是没有压缩文件,再查一下内存中缓存的文件

volatility -f flag --profile=WinXPSP2x86 filescan

直接被数据刷屏了= =

过滤一下

volatility -f flag --profile=WinXPSP2x86 filescan | grep rar

得到了flag.rar

进行解压缩,输入密码,得到flag

sg

 

volatility内存取证

标签:file   就是   题意   系统   剪切板   山东   clipboard   密码   hint   

原文地址:https://www.cnblogs.com/rainbowcloud/p/10198331.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!