永州市规划建设局网站,pvtc2c平台,临清网站建设公司,青海建设信用信息服务网站目录
1.从内存文件中获取到用户hacker 的密码并且破解密码#xff0c;将破解后的密码作为 Flag值提交;
2.获取当前系统的主机名#xff0c;将主机名作为Flag值提交;
3.获取当前系统浏览器搜索过的关键词#xff0c;作为Flag提交;
4.获取当前内存文件的 ip地址
5.当前系…目录
1.从内存文件中获取到用户hacker 的密码并且破解密码将破解后的密码作为 Flag值提交;
2.获取当前系统的主机名将主机名作为Flag值提交;
3.获取当前系统浏览器搜索过的关键词作为Flag提交;
4.获取当前内存文件的 ip地址
5.当前系统中存在的挖矿进程请获取指向的矿池地址将矿池的IP地址作为. Flag值提交(局域网ip);.
6.恶意进程在系统中注册了服务请将服务名以 Flag{服务名}形式提交。
7.请将内存文件中的剪贴板内容作为flag 值提交;
8.从内存文件中获取记事本的内容并将该内容作为flag值提交;
9.从内存文件中获取截图的内容并将该内容作为flag值提交;
10.从内存文件中获取黑客进入系统后下载的图片将图片中的内容作为 Flag值提交。
11.查看被删除的文件里的内容
12.最后一次更新时间运行过的次数为 Flag值提交。
13.将最后一次cmd的命令当作flag 加油各位( •̀ ω •́ )y 期待与君再相逢 决定出一期内存取证常见题型的文章利于诸君平时做题 文章也会持续更新
如果需要详细的安装教程和插件使用请查看以下文章
内存取证-volatility工具的使用 史上更全教程更全命令_路baby的博客-CSDN博客内存取证-volatility工具的使用 史上更全教程更全命令安装步骤 命令解析 工具插件分析 例题讲解https://blog.csdn.net/m0_68012373/article/details/127419463 1.从内存文件中获取到用户hacker 的密码并且破解密码将破解后的密码作为 Flag值提交;
先获取内存文件的profile使用imageinfo 插件即可
volatility -f xxx.vmem imageinfo
使用 SAM\Domains\Account\Users\Names查看用户这一步可有可无
volatility -f xxx.vmem --profile[操作系统] printkey -K SAM\Domains\Account\Users\Names
破密码
volatility -f xxx.vmem --profile[操作系统] hashdump(hashcat或者john 去破解)
volatility -f xxx.vmem --profile[操作系统] mimikatz
volatility -f xxx.vmem --profile[操作系统] lsadump
2.获取当前系统的主机名将主机名作为Flag值提交;
volatility -f xxx.vmem --profile[操作系统] printkey -K ControlSet001\Control\ComputerName\ComputerName
volatility -f xxx.vmem --profile[操作系统] envars(查看环境变量)
3.获取当前系统浏览器搜索过的关键词作为Flag提交;
volatility -f xxx.vmem --profile[操作系统] iehistory
4.获取当前内存文件的 ip地址
volatility -f xxx.vmem --profile[操作系统] netscan
volatility -f xxx.vmem --profile[操作系统] connscan
volatility -f xxx.vmem --profile[操作系统] connections
5.当前系统中存在的挖矿进程请获取指向的矿池地址将矿池的IP地址作为. Flag值提交(局域网ip);.
volatility -f xxx.vmem --profile[操作系统] netscan(找唯一一个已建立的 ESTABLISHED)
6.恶意进程在系统中注册了服务请将服务名以 Flag{服务名}形式提交。
volatility -f xxx.vmem --profile[操作系统] pslist -p [子进程号]
(子进程好上一题可知)
得到父进程
然后在通过通过svcscan可以查询服务名称根据父进程找到对应服务名
volatility -f xxx.vmem --profile[操作系统] svcscan
7.请将内存文件中的剪贴板内容作为flag 值提交;
volatility -f xxx.vmem --profile[操作系统] clipboard
8.从内存文件中获取记事本的内容并将该内容作为flag值提交;
volatility -f xxx.vmem --profile[操作系统] editbox
volatility -f xxx.vmem --profile[操作系统] notepad
9.从内存文件中获取截图的内容并将该内容作为flag值提交;
volatility -f xxx.vmem --profile0S screenshot --dump-dir./
10.从内存文件中获取黑客进入系统后下载的图片将图片中的内容作为 Flag值提交。
volatility -f xxx.vmem --profile[操作系统] filescan | grep -E png|jpg|gif|bmp|zip|rar|7z|pdf|txt|doc
11.查看被删除的文件里的内容
volatility -f xxx.vmem --profile[操作系统] mftparser
12.最后一次更新时间运行过的次数为 Flag值提交。
volatility -f xxx.vmem --profile[操作系统] userassist
13.将最后一次cmd的命令当作flag
volatility -f xxx.vmem --profile[操作系统] cmdscan 加油各位( •̀ ω •́ )y 期待与君再相逢
