【技术分享】实战volatility内存取证

打开网易新闻 查看精彩图片

前言：

Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家所合作开发的一套工具, 可以用于windows、linux、mac osx和android等系统内存取证，在应急响应、系统分析、取证领域有着举足轻重的地位。本期技术分享，小星将带大家从三个实战环境中来了解volatility的使用与技巧。

01task.zip

python vol.py -f WIN-BU6IJ7FI9RU-20190927-152050.raw --profile=Win7SP1x86_23418 hashdump

#somd5⽹站爆破

02task.7z

1. 使用volatility的imageinfo以查看memory的镜像信息。

2. 扫描桌面⽂件，发现了带有Bitlocker字样的txt文件。

打开网易新闻 查看精彩图片

3. 使用dumpfiles导出⽂件以查看内容。

打开网易新闻 查看精彩图片

4. 结果显示，文件是BitLocker解密的密钥。使用diskgenius打开虚拟磁盘文件secret，解锁Bitlocker到加密分区；输⼊恢复密钥，解锁分区成功，看到README.txt后右键复制至桌⾯。

打开网易新闻 查看精彩图片

5. README.txt的内容即为flag。

Wow, you have a great ability. How did you solve this? Are you a hacker? Please give me a lesson later.

03ez_forensics

1. 下载附件得到⼀个pc.vmdk磁盘文件和⼀个pc.raw内存文件，利用FTK挂载vmdk⽂件。

打开网易新闻 查看精彩图片

2. 挂载后发现了bitlocker加密的提示。

打开网易新闻 查看精彩图片

3. 查看raw内存⽂件，并进行pstree操作，发现存在cmd.exe。

打开网易新闻 查看精彩图片

打开网易新闻 查看精彩图片

4. 运行一次常规的filescan：首先filescan桌面，但桌面上没有存在可疑信息，由此得知这题的重点不在桌⾯上。

打开网易新闻 查看精彩图片

打开网易新闻 查看精彩图片

5. 根据进程里的cmd.exe，查看cmdscan命令行输⼊的内容。

打开网易新闻 查看精彩图片

打开网易新闻 查看精彩图片

6. 出现以下结果。

打开网易新闻 查看精彩图片

7. 根据提示，此处似乎存在⼀个特别的截屏，尝试查看内存中的截屏。

打开网易新闻 查看精彩图片

打开网易新闻 查看精彩图片

8. 此处发现，桌面上曾经打开过⼀份⽂件，从文件名可知这是⼀个关键的文件：thes3cret。

打开网易新闻 查看精彩图片

9. 尝试filescan 此⽂件。

打开网易新闻 查看精彩图片

10. 进行dumpfiles操作。

打开网易新闻 查看精彩图片

打开网易新闻 查看精彩图片

11. 提取后发现，这是⼀个文本⽂件，文件内容如下显示。

打开网易新闻 查看精彩图片

综上显示，我们可以得知这是⼀个AES加密。小星曾经尝试直接解密，但是解密失败。由此推断，此处的AES解密也是需要⼀个密码。

1. 返回至此前已完成bitlocker加密的磁盘⽂件，存在磁盘和内存，可以利用EFDD进行磁盘解密。

打开网易新闻 查看精彩图片

2. volume 选择挂载过的物理磁盘即可，memory dump选择内存⽂件，并⼀直往后解密，即可成功。

打开网易新闻 查看精彩图片

3. 解密成功后发现，存在cipher.zip和flag.txt，但是flag.txt的数据是无用的。

打开网易新闻 查看精彩图片

4. cipher.zip内存在⼀张cipher.png图片。

打开网易新闻 查看精彩图片

5. png图片尝试进行stegsolve分析，发现存在LSB隐写，并隐藏了⼀个压缩包。

打开网易新闻 查看精彩图片

6. 提取后发现，压缩包需要密码解压。

打开网易新闻 查看精彩图片

7. 注释内存有提示。

打开网易新闻 查看精彩图片

8. 提示密码是电脑用户的登录密码。此时返回至内存⽂件中，尝试使用mimikatz提取登录密码即可。

打开网易新闻 查看精彩图片

打开网易新闻 查看精彩图片

由此得到：

打开网易新闻 查看精彩图片

9. 尝试解密压缩包。解密成功，压缩包内存在⼀个key.txt文件，内容如下显示：

打开网易新闻 查看精彩图片

10. 根据数据格式，每个数字均为0-7。由此得知这是⼀个八进制的加密，进行八进制解密操作即可。

打开网易新闻 查看精彩图片

由此得到：

11. 此时AES的密文和key都已被获取，最后进行aes解密操作，即可得到flag。

打开网易新闻 查看精彩图片

了解小星，了解星云博创

星云博创科技有限公司（简称“星云博创”）成立于2016年，是国内新兴的网络安全产品、可信安全管理平台、专业安全服务与解决方案的综合提供商。星云博创设北京为北方总部，广州为南方总部，并于成都、合肥、南昌、贵州、武汉、太原、哈尔滨等多个城市设立分支机构。同时，星云博创为不断完善客户服务体系和应急响应体系，在全国10余个省、市、自治区、直辖市建立三级服务支持中心，7×24小时接收客户需求，及时提供标准一致的安全服务。

作为一家以技术先导的企业，星云博创始终坚持在网络安全、数据安全、态势感知、等级保护、合规性安全管理等领域进行技术创新，利用安全分析、大数据分析、人工智能等技术，对网络空间安全要素、安全风险进行深度挖掘与关联分析，构建了多层次的纵深防御体系，持续推出态势感知平台、静态脱敏系统、终端安全监测系统等一系列优秀的安全产品和行业解决方案，广泛应用于政府、运营商、医疗、教育、电力、能源等多个领域，让风险无所遁形。

星云博创已获得ISO9001、ISO27001、 ISO20000管理体系认证，CMMI5软件成熟度认证，信息系统安全集成服务、信息安全风险评估服务、软件安全开发服务资质的CCRC二级认证，及安全运维服务资质、应急处理服务资质的CCRC三级认证。此外，星云博创还是国家信息安全漏洞库（CNNVD）技术支撑单位、海南省网络安全应急技术支撑单位、广州市应急联动机构支撑单位。