苏州企业网站推广,网站怎样制作流程,兄弟网站建设,wordpress汉语公益1.用户密码
从内存中获取到用户admin的密码并且破解密码#xff0c;以Flag{admin,password}形式提交(密码为6位)#xff1b;
1#xff09;查看帮助 -h ./volatility_2.6_lin64_standalone -h 2#xff09;获取内存镜像文件的信息 imageinfo ./volatility_2.6_lin64_stand…1.用户密码
从内存中获取到用户admin的密码并且破解密码以Flag{admin,password}形式提交(密码为6位)
1查看帮助 -h ./volatility_2.6_lin64_standalone -h 2获取内存镜像文件的信息 imageinfo ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem imageinfo 3提取操作系统内存中的用户密码哈希值 hashdump ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem --profileWin7SP1x64 hashdump 4提取操作系统本地安全屏障权限数据库LSA Secrets中存储的敏感信息 lsadump ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem --profileWin7SP1x64 lsadump Flag{admin,H8d*or}
2.ip地址和主机名
获取当前系统ip地址及主机名以Flag{ip:主机名}形式提交
1分析内存中的网络活动信息 netscan ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem --profileWin7SP1x64 netscan 2)列举内存中加载的 Windows 注册表文件(hive)的位置和相关信息 ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem --profileWin7SP1x64 hivelist \REGISTRY\MACHINE\SYSTEM 是 Windows 操作系统中的一个关键注册表 hive文件。它保存着系统级别的配置信息包括硬件配置、设备驱动程序、服务和安全设置等。
3)查找并打印指定注册表键的内容 printkey ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem -- profileWin7SP1x64 -o 0xfffff8a000024010 printkey ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem -- profileWin7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001 # -o 0xfffff8a000024010 选项指定了要打印的注册表键的物理地址而 -K ControlSet001 是指定要打印的注册表键的路径。 ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem --profileWin7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem --profileWin7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control\ComputerName ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem -- profileWin7SP1x64 -o 0xfffff8a000024010 printkey -K ControlSet001\Control\ComputerName\ComputerName # -o 0xfffff8a000024010 是一个选项它指定了要打印的注册表键的物理地址。 -K ControlSet001\Control\ComputerName\ComputerName 是指定要打印的注册表键的路径。具体来说这个路径是 ControlSet001 下的 Control 子键下的 ComputerName 子键下的 ComputerName 值。 Flag{192.168.232.129:CXKKA2ZCLKN}
3.当前系统中存在的挖矿进程请获取指向的矿池地址以Flag{ip}形式提交
一般存在矿池就有不正常的服务,异常计算资源使用,可疑进程名称,高度持续运行的进程或者异常网络流量
1)扫描内存中的网络连接信息并将其显示出来 ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem --profileWin7SP1x64 netscan Flag{51.254.84.37}
4.恶意进程在系统中注册了服务请将服务名以Flag{服务名}形式提交
根据上一题得到1716 ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem --profileWin7SP1x64 pslist -p 1716 扫描和列举服务信息的插件 5.从内存文件中获取黑客进入系统后下载的flag文件将文件中的值作为Flag值提交
1提取和分析进程的命令行信息的插件 ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem --profileWin7SP1x64 cmdline 2扫描和分析内存中的文件信息 filescan ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem -- profileWin7SP1x64 filescan 3)扫描和分析内存中的文件信息,将结果传递给 “grep” 命令进行筛选以找到包含指定关键词的文件如文本文件 (“txt”)、图片文件 (“png”, “jpg”, “gif”) 和桌面文件 (“desktop”) ./volatility_2.6_lin64_standalone --file neicun 内存取证文件 .vmem -- profile Win7SP1x64 filescan | grep -i txt\|png\|flag\|jpg\|gif\|desktop 4)提取的文件将保存在当前目录中 ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem --profileWin7SP1x64 dumpfiles -Q 0x000000007f810a70 -D ./ ./volatility_2.6_lin64_standalone --fileneicun内存取证文件.vmem --profileWin7SP1x64 dumpfiles -Q 0x000000007f832360 -D ./ 用十六进制打开第一个文件
.png的文件头89504E47 用十六进制打开第一个文件
.png的文件尾89504E47 复制第二个文件到第一个文件下面合并为一个并保存 打开得到flag
