RoarCTF2019/BUUCTF-forensic
时隔一个多月重新学习一哈Volatility。
shawroot.hatenablog.com
volatility imageinfo -f 文件名
查看进程:
volatility psscan -f 文件名 --profile=Win7SP1x86
Volatility Foundation Volatility Framework 2.6 Offset(P) Name PID PPID PDB Time created Time exited ------------------ ---------------- ------ ------ ---------- ------------------------------ ------------------------------ 0x000000001de20d40 svchost.exe 2088 504 0x1ef9b440 2019-09-16 13:53:09 UTC+0000 0x000000001de23cd8 wininit.exe 420 344 0x1ef9b0a0 2019-09-16 13:53:06 UTC+0000 0x000000001de99708 SearchProtocol 2868 2788 0x1ef9b4e0 2019-09-16 13:53:15 UTC+0000 0x000000001e00fd40 svchost.exe 1224 504 0x1ef9b240 2019-09-16 13:53:08 UTC+0000 0x000000001e031ae8 taskhost.exe 1772 504 0x1ef9b2c0 2019-09-16 13:53:08 UTC+0000 0x000000001e074d40 svchost.exe 1372 504 0x1ef9b280 2019-09-16 13:53:08 UTC+0000 0x000000001e0855a0 sppsvc.exe 2720 504 0x1ef9b160 2019-09-16 13:53:14 UTC+0000 0x000000001e0c8d40 taskeng.exe 1512 892 0x1ef9b2e0 2019-09-16 13:53:08 UTC+0000 0x000000001e0da270 dwm.exe 1548 856 0x1ef9b320 2019-09-16 13:53:08 UTC+0000 0x000000001e0fa838 explorer.exe 1636 1528 0x1ef9b340 2019-09-16 13:53:08 UTC+0000 0x000000001e1065c0 imdsksvc.exe 1700 504 0x1ef9b360 2019-09-16 13:53:08 UTC+0000 0x000000001e10f930 coherence.exe 1732 504 0x1ef9b380 2019-09-16 13:53:08 UTC+0000 0x000000001e131d40 prl_tools_serv 1784 504 0x1ef9b3a0 2019-09-16 13:53:08 UTC+0000 0x000000001e14c030 coherence.exe 1864 1732 0x1ef9b3c0 2019-09-16 13:53:08 UTC+0000 0x000000001e158b38 dllhost.exe 1888 504 0x1ef9b3e0 2019-09-16 13:53:09 UTC+0000 0x000000001e17cd40 msdtc.exe 2484 504 0x1ef9b420 2019-09-16 13:53:10 UTC+0000 0x000000001e1e9b38 dllhost.exe 1392 504 0x1ef9b480 2019-09-16 13:53:09 UTC+0000 0x000000001e1fcd40 prl_cc.exe 1980 1896 0x1ef9b4a0 2019-09-16 13:53:09 UTC+0000 0x000000001e1ffd40 VSSVC.exe 296 504 0x1ef9b460 2019-09-16 13:53:09 UTC+0000 0x000000001e228a58 lsm.exe 544 420 0x1ef9b100 2019-09-16 13:53:07 UTC+0000 0x000000001e268520 svchost.exe 644 504 0x1ef9b120 2019-09-16 13:53:07 UTC+0000 0x000000001e33e030 svchost.exe 804 504 0x1ef9b180 2019-09-16 13:53:07 UTC+0000 0x000000001e361938 svchost.exe 856 504 0x1ef9b1a0 2019-09-16 13:53:07 UTC+0000 0x000000001e36b030 svchost.exe 892 504 0x1ef9b1c0 2019-09-16 13:53:07 UTC+0000 0x000000001e383718 audiodg.exe 964 804 0x1ef9b1e0 2019-09-16 13:53:07 UTC+0000 0x000000001e39b8b0 svchost.exe 1036 504 0x1ef9b200 2019-09-16 13:53:07 UTC+0000 0x000000001e3cc728 WUDFHost.exe 1160 856 0x1ef9b220 2019-09-16 13:53:08 UTC+0000 0x000000001e437c38 SearchIndexer. 2788 504 0x1ef9b4c0 2019-09-16 13:53:15 UTC+0000 0x000000001e439a68 svchost.exe 716 504 0x1ef9b140 2019-09-16 13:53:07 UTC+0000 0x000000001e5af8b0 lsass.exe 536 420 0x1ef9b0e0 2019-09-16 13:53:07 UTC+0000 0x000000001ec15d40 smss.exe 272 4 0x1ef9b020 2019-09-16 13:53:04 UTC+0000 0x000000001ec2b030 spoolsv.exe 1340 504 0x1ef9b260 2019-09-16 13:53:08 UTC+0000 0x000000001ec44d40 prl_tools.exe 1896 1784 0x1ef9b400 2019-09-16 13:53:09 UTC+0000 0x000000001ec72bf8 winlogon.exe 492 412 0x1ef9b0c0 2019-09-16 13:53:06 UTC+0000 0x000000001ec98030 svchost.exe 3648 504 0x1ef9b560 2019-09-16 13:53:57 UTC+0000 0x000000001edda270 csrss.exe 428 412 0x1ef9b040 2019-09-16 13:53:06 UTC+0000 0x000000001eddad40 services.exe 504 420 0x1ef9b080 2019-09-16 13:53:06 UTC+0000 0x000000001ef04600 SearchFilterHo 2888 2788 0x1ef9b500 2019-09-16 13:53:15 UTC+0000 0x000000001ef56030 WmiPrvSE.exe 3016 644 0x1ef9b2a0 2019-09-16 13:55:10 UTC+0000 0x000000001ef8dad8 notepad.exe 3524 1636 0x1ef9b300 2019-09-16 13:53:51 UTC+0000 0x000000001ef9f030 TrueCrypt.exe 3260 3072 0x1ef9b580 2019-09-16 13:53:22 UTC+0000 0x000000001efbf6c8 csrss.exe 364 344 0x1ef9b060 2019-09-16 13:53:06 UTC+0000 0x000000001efce468 mspaint.exe 3620 1636 0x1ef9b540 2019-09-16 13:53:57 UTC+0000 0x000000001fc893f0 iexplore.exe 3700 1636 0x1ef9b520 2019-09-16 13:54:03 UTC+0000 0x000000001fcacd40 iexplore.exe 3752 3700 0x1ef9b5a0 2019-09-16 13:54:04 UTC+0000 0x000000001fcff848 conhost.exe 3204 428 0x1ef9b620 2019-09-16 13:55:15 UTC+0000 0x000000001fcffb38 DumpIt.exe 3380 1636 0x1ef9b600 2019-09-16 13:55:15 UTC+0000 0x000000001ffaf950 System 4 0 0x00185000 2019-09-16 13:53:04 UTC+0000
这里有几个是需要注意的。
notepad.exe windows自带的记事本。
dumpit.exe 一款内存镜像提取工具。
trueCrypt.exe 一款磁盘加密工具。
mspaint.exe windows自带画图工具。
emm,先看一哈notepad.exe进程吧。提取进程(PID):
volatility -f 文件名 --profile=Win7SP1x86 memdump -p 3524 -D ./
发现提取出来的(3524.dmp)太大了。binwalk一下会出来很多东西。我直接foremost提取了下看了看。
翻一圈其他没什么卵用,注意到有一个加密压缩文件夹,密码暂时我们还不知道,先放在这。
接着我又提取了自带的画图看了下 也没什么发现。。就不放截图了。
仿照红帽杯那道题,查了下内存镜像中的图片文件:
volatility -f 文件名 --profile=Win7SP1x86 memdump -p 3620 -D ./
volatility -f 文件名 --profile=Win7SP1x86 dumpfiles -Q 0x000000001efb29f8 -n --dump-dir=./
提取后得到一张图片:
这就是压缩密码啦。看不太清楚自己爆破了一下:1YxfCQ6goYBD6Q
打开压缩文件得到flag。