![](http://dingyue.ws.126.net/2023/0223/0b7adddej00rqirki0051d000p000anp.jpg)
前言:
Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家所合作开发的一套工具, 可以用于windows、linux、mac osx和android等系统内存取证,在应急响应、系统分析、取证领域有着举足轻重的地位。本期技术分享,小星将带大家从三个实战环境中来了解volatility的使用与技巧。
01task.zip
python vol.py -f WIN-BU6IJ7FI9RU-20190927-152050.raw --profile=Win7SP1x86_23418 hashdump
#somd5⽹站爆破
02task.7z
1. 使用volatility的imageinfo以查看memory的镜像信息。
2. 扫描桌面⽂件,发现了带有Bitlocker字样的txt文件。
![](http://dingyue.ws.126.net/2023/0223/6d90a2c8j00rqir0a003td000v9007cp.jpg)
3. 使用dumpfiles导出⽂件以查看内容。
![](http://dingyue.ws.126.net/2023/0223/407537cbj00rqir1o004dd000v900b6p.jpg)
4. 结果显示,文件是BitLocker解密的密钥。使用diskgenius打开虚拟磁盘文件secret,解锁Bitlocker到加密分区;输⼊恢复密钥,解锁分区成功,看到README.txt后右键复制至桌⾯。
![](http://dingyue.ws.126.net/2023/0223/cbd4b729p00rqir29002ad000v90020p.png)
5. README.txt的内容即为flag。
Wow, you have a great ability. How did you solve this? Are you a hacker? Please give me a lesson later.
03ez_forensics
1. 下载附件得到⼀个pc.vmdk磁盘文件和⼀个pc.raw内存文件,利用FTK挂载vmdk⽂件。
![](http://dingyue.ws.126.net/2023/0223/62652757j00rqir2s004pd000v900g5p.jpg)
2. 挂载后发现了bitlocker加密的提示。
![](http://dingyue.ws.126.net/2023/0223/5d9331f7j00rqir36001dd000ll00hzp.jpg)
3. 查看raw内存⽂件,并进行pstree操作,发现存在cmd.exe。
![](http://dingyue.ws.126.net/2023/0223/6a17df8cp00rqir3t000md000v90018p.png)
![](http://dingyue.ws.126.net/2023/0223/0a206f61j00rqir4j00bwd000ph00jyp.jpg)
4. 运行一次常规的filescan:首先filescan桌面,但桌面上没有存在可疑信息,由此得知这题的重点不在桌⾯上。
![](http://dingyue.ws.126.net/2023/0223/17b57f84p00rqir5d0005d000uh000wp.png)
![](http://dingyue.ws.126.net/2023/0223/0d366df9j00rqirs600bzd000v90085p.jpg)
5. 根据进程里的cmd.exe,查看cmdscan命令行输⼊的内容。
![](http://dingyue.ws.126.net/2023/0223/d3fdb460p00rqir6x000ed000v90013p.png)
![](http://dingyue.ws.126.net/2023/0223/a00de6abj00rqir7f003cd000j400a9p.jpg)
6. 出现以下结果。
![](http://dingyue.ws.126.net/2023/0223/e015782ap00rqir84000bd000v90013p.png)
7. 根据提示,此处似乎存在⼀个特别的截屏,尝试查看内存中的截屏。
![](http://dingyue.ws.126.net/2023/0223/1f5ce715p00rqir8u000gd000v90015p.png)
![](http://dingyue.ws.126.net/2023/0223/147eba80j00rqiqkv00b4c000u000aym.jpg)
8. 此处发现,桌面上曾经打开过⼀份⽂件,从文件名可知这是⼀个关键的文件:thes3cret。
![](http://dingyue.ws.126.net/2023/0223/e8bab6e9j00rqir9m000od000u000azp.jpg)
9. 尝试filescan 此⽂件。
![](http://dingyue.ws.126.net/2023/0223/45587b0cp00rqira1000id000v90012p.png)
10. 进行dumpfiles操作。
![](http://dingyue.ws.126.net/2023/0223/36c64866p00rqirai000pd000v9002dp.png)
![](http://dingyue.ws.126.net/2023/0223/95bbab8fj00rqirba0046d000v9004lp.jpg)
11. 提取后发现,这是⼀个文本⽂件,文件内容如下显示。
![](http://dingyue.ws.126.net/2023/0223/64c25305p00rqirc3001dd000v9002cp.png)
综上显示,我们可以得知这是⼀个AES加密。小星曾经尝试直接解密,但是解密失败。由此推断,此处的AES解密也是需要⼀个密码。
1. 返回至此前已完成bitlocker加密的磁盘⽂件,存在磁盘和内存,可以利用EFDD进行磁盘解密。
![](http://dingyue.ws.126.net/2023/0223/232bed68j00rqircj001ud000k900llp.jpg)
2. volume 选择挂载过的物理磁盘即可,memory dump选择内存⽂件,并⼀直往后解密,即可成功。
![](http://dingyue.ws.126.net/2023/0223/1b892ab7j00rqircz002ed000k900llp.jpg)
3. 解密成功后发现,存在cipher.zip和flag.txt,但是flag.txt的数据是无用的。
![](http://dingyue.ws.126.net/2023/0223/09c8af8bp00rqirdf0008d000v90015p.png)
4. cipher.zip内存在⼀张cipher.png图片。
![](http://dingyue.ws.126.net/2023/0223/8cf848a2j00rqirdt001qd000v9005up.jpg)
5. png图片尝试进行stegsolve分析,发现存在LSB隐写,并隐藏了⼀个压缩包。
![](http://dingyue.ws.126.net/2023/0223/8ce8ee38j00rqirei001dd000k200fsp.jpg)
6. 提取后发现,压缩包需要密码解压。
![](http://dingyue.ws.126.net/2023/0223/99a3758bj00rqirey001fd000u00081p.jpg)
7. 注释内存有提示。
![](http://dingyue.ws.126.net/2023/0223/a8e4d51cp00rqirfg000kd000v90019p.png)
8. 提示密码是电脑用户的登录密码。此时返回至内存⽂件中,尝试使用mimikatz提取登录密码即可。
![](http://dingyue.ws.126.net/2023/0223/4ab879abp00rqirfw000od000v90017p.png)
![](http://dingyue.ws.126.net/2023/0223/8381dbe3j00rqirga001cd000k50046p.jpg)
由此得到:
![](http://dingyue.ws.126.net/2023/0223/ce56e54cp00rqirh50008d000v90014p.png)
9. 尝试解密压缩包。解密成功,压缩包内存在⼀个key.txt文件,内容如下显示:
![](http://dingyue.ws.126.net/2023/0223/16f21613p00rqirhw000xd000v9002hp.png)
10. 根据数据格式,每个数字均为0-7。由此得知这是⼀个八进制的加密,进行八进制解密操作即可。
![](http://dingyue.ws.126.net/2023/0223/549e49d2j00rqirie001vd000u000akp.jpg)
由此得到:
11. 此时AES的密文和key都已被获取,最后进行aes解密操作,即可得到flag。
![](http://dingyue.ws.126.net/2023/0223/1cb3a63dj00rqirjm003bd000v9009np.jpg)
了解小星,了解星云博创
星云博创科技有限公司(简称“星云博创”)成立于2016年,是国内新兴的网络安全产品、可信安全管理平台、专业安全服务与解决方案的综合提供商。星云博创设北京为北方总部,广州为南方总部,并于成都、合肥、南昌、贵州、武汉、太原、哈尔滨等多个城市设立分支机构。同时,星云博创为不断完善客户服务体系和应急响应体系,在全国10余个省、市、自治区、直辖市建立三级服务支持中心,7×24小时接收客户需求,及时提供标准一致的安全服务。
作为一家以技术先导的企业,星云博创始终坚持在网络安全、数据安全、态势感知、等级保护、合规性安全管理等领域进行技术创新,利用安全分析、大数据分析、人工智能等技术,对网络空间安全要素、安全风险进行深度挖掘与关联分析,构建了多层次的纵深防御体系,持续推出态势感知平台、静态脱敏系统、终端安全监测系统等一系列优秀的安全产品和行业解决方案,广泛应用于政府、运营商、医疗、教育、电力、能源等多个领域,让风险无所遁形。
星云博创已获得ISO9001、ISO27001、 ISO20000管理体系认证,CMMI5软件成熟度认证,信息系统安全集成服务、信息安全风险评估服务、软件安全开发服务资质的CCRC二级认证,及安全运维服务资质、应急处理服务资质的CCRC三级认证。此外,星云博创还是国家信息安全漏洞库(CNNVD)技术支撑单位、海南省网络安全应急技术支撑单位、广州市应急联动机构支撑单位。
热门跟贴