內存取證初探

0x00準備

一般使用軟件為volatility，kali自帶，也可以到項目地址：https://github.com/volatilityfoundation/volatility下載安裝

0x01常用命令

一般ctf內存取證題目中會給出鏡像文件，后綴為.raw、.vmem、.img、.data幾種格式，本地可以用dumpit.exe保存內存信息為raw文件。

題目文件是安洵杯的一道內存取證題，題目下載地址：鏈接：https://pan.baidu.com/s/1IQqpaBk7OXsj8BW0h3OShw 提取碼：mz1l

1、獲取鏡像的基本信息

volatility -f mem.dump imageinfo

留意Suggested Profile(s)項，軟件給出的建議是以下系統的鏡像

2、獲取進程信息

volatility -f mem.dump --profile=Win7SP1x64 pslist

3、獲取cmd歷史命令

volatility -f mem.dump --profile=Win7SP1x64 cmdscan

看到有一個flag.ccx的文件，提示密碼和Administrator密碼相同，提取flag.ccx文件

4、搜索文件

volatility -f mem.dump --profile=Win7SP1x64 filescan | grep flag.cc

獲得文件qid之后可以把文件dump下來查看

5、dump文件

volatility -f mem.dump --profile=Win7SP1x64 dumpfiles -Q 0x000000003e435890 -D ./

6、查看注冊表信息

volatility -f mem.dump --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"

7、獲取密碼哈希

volatility -f mem.dump --profile=Win7SP1x64 hivelist

volatility -f mem.dump --profile=Win7SP1x64 hashdump -y 0xfffff8a000024010 -s 0xfffff8a001590010

得到的hash拿去解碼

之后用進程中的cncrypt解密flag.ccx得到flag：flag{now_you_see_my_secret}

0x02總結

volatility除了常用命令外還有很多實用的功能，在內存取證會經常用到