初識(shí)內(nèi)存取證-volatility與Easy_dump

volatility

Volatility是一款非常強(qiáng)大的內(nèi)存取證工具,它是由來自全世界的數(shù)百位知名安全專家合作開發(fā)的一套工具, 可以用于windows,linux,mac osx,android等系統(tǒng)內(nèi)存取證。Volatility是一款開源內(nèi)存取證框架，能夠?qū)?dǎo)出的內(nèi)存鏡像進(jìn)行分析，通過獲取內(nèi)核數(shù)據(jù)結(jié)構(gòu)，使用插件獲取內(nèi)存的詳細(xì)情況以及系統(tǒng)的運(yùn)行狀態(tài)。 在不同系統(tǒng)下都有不同的軟件版本，官網(wǎng)地址：https://www.volatilityfoundation.org/26

volatility工具的基本使用

命令格式

volatility -f [image] --profile=[profile] [plugin] 在分析之前，需要先判斷當(dāng)前的鏡像信息，分析出是哪個(gè)操作系統(tǒng)
volatility -f xxx.vmem imageinfo
如果操作系統(tǒng)錯(cuò)誤，是無(wú)法正確讀取內(nèi)存信息的，知道鏡像后，就可以在--profile=中帶上對(duì)應(yīng)的操作系統(tǒng)

常用插件

下列命令以windows內(nèi)存文件舉例

查看用戶名密碼信息

volatility -f 1.vmem --profile=Win7SP1x64 hashdump

查看進(jìn)程

volatility -f 1.vmem --profile=Win7SP1x64 pslist

查看服務(wù)

volatility -f 1.vmem --profile=Win7SP1x64 svcscan

查看瀏覽器歷史記錄

volatility -f 1.vmem --profile=Win7SP1x64 iehistory

查看網(wǎng)絡(luò)連接

volatility -f 1.vmem --profile=Win7SP1x64 netscan

查看命令行操作

volatility -f 1.vmem --profile=Win7SP1x64 cmdscan

查看文件

volatility -f 1.vmem --profile=Win7SP1x64 filescan

查看文件內(nèi)容

volatility -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0xxxxxxxx -D ./

查看當(dāng)前展示的notepad內(nèi)容

volatility -f 1.vmem --profile=Win7SP1x64 notepad

提取進(jìn)程

volatility -f 1.vmem --profile=Win7SP1x64 memdump -p xxx --dump-dir=./

屏幕截圖

volatility -f 1.vmem --profile=Win7SP1x64 screenshot --dump-dir=./

查看注冊(cè)表配置單元

volatility -f 1.vmem --profile=Win7SP1x64 hivelist

查看注冊(cè)表鍵名

volatility -f 1.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a001032410

查看注冊(cè)表鍵值

volatility -f 1.vmem --profile=Win7SP1x64 printkey -K "xxxxxxx"

查看運(yùn)行程序相關(guān)的記錄，比如最后一次更新時(shí)間，運(yùn)行過的次數(shù)等

volatility -f 1.vmem --profile=Win7SP1x64 userassist

最大程序提取信息

volatility -f 1.vmem --profile=Win7SP1x64 timeliner

電子取證之Easy_dump(2018護(hù)網(wǎng)杯)

查看鏡像信息

volatility -f easy_dump.img imageinfo
查看結(jié)果，推測(cè)可能是Win7SP1x64的鏡像

指定鏡像進(jìn)行進(jìn)程掃描

volatility -f easy_dump.img --profile=Win7SP1x64 psscan
也可以使用pslist參數(shù)
發(fā)現(xiàn)存在notepad.exe，查看一下內(nèi)容。 ?

導(dǎo)出進(jìn)程中內(nèi)容

volatility -f easy_dump.img --profile=Win7SP1x64 memdump -p 2616 -D /xxx/xxx/xxx/
其中procdump：是提取進(jìn)程的可執(zhí)行文件
memdump：是提取進(jìn)程在內(nèi)存中的信息 ?

使用strings查找flag信息

strings -e l 2616.dmp | grep "flag"
發(fā)現(xiàn)提示是jpg ?

讀取jpg文件

volatility -f easy_dump.img --profile=Win7SP1x64 filescan | grep "jpg"
發(fā)現(xiàn)圖片phos.jpg
導(dǎo)出圖片
查看圖片，無(wú)法正常打開
使用binwalk查看，發(fā)現(xiàn)存在zip文件 ?

分離文件

foremost file.None.0xfffffa8008355410.vacb
分離后自動(dòng)生成output文件夾，查看內(nèi)容
解壓00004372.zip，得到message.img
繼續(xù)使用binwalk提取文件
得到hint.txt ?

使用腳本進(jìn)行轉(zhuǎn)換

查看其他大佬說可能是左邊，使用腳本進(jìn)行轉(zhuǎn)換

#腳本文件 importmatplotlib.pyplotasplt importnumpyasnp x=[] y=[] withopen('hint.txt','r')asf: datas=f.readlines() fordataindatas: arr=data.split('') x.append(int(arr[0])) y.append(int(arr[1])) plt.plot(x,y,'ks',ms=1) plt.show() 掃描二維碼得到提示，一個(gè)是維吉尼亞加密，秘鑰是aeolus。一個(gè)是加密文件被刪除了，需要恢復(fù)。 ?

恢復(fù)文件

使用testdisk進(jìn)行恢復(fù) testdisk message.img 紅色為需要恢復(fù)的文件 使用ls -a查看 使用strings查看 最后一句字符串嘗試解密 得到最終結(jié)果

參考資料

https://www.cnblogs.com/zaqzzz/p/10350989.html https://blog.csdn.net/weixin_42742658/article/details/106819187