CTF必备取证神器（volatilityPTF取证大师Magnet AXIOM）

Posted 2021-11-11 Ocean:)

在CTF比赛中好的工具往往能让解题变得顺利，在取证题中更是如此，神器让flag无处可藏

接下来会分别介绍几个取证工具安装和使用

• volatility
• PTF
• 取证大师
• Magnet AXIOM

volatility

Volatility是一款开源内存取证框架，能够对导出的内存镜像进行分析，通过获取内核数据结构，使用插件获取内存的详细情况以及系统的运行状态

vol 存在多个版本

• exe封装版
• python2版 https://github.com/volatilityfoundation/volatility
• python3版 https://github.com/volatilityfoundation/volatility3

使用

使用的话 python 直接拿来用就行了，以提取vmem格式内存文件中的win密码为例，题目下载地址：https://www.aliyundrive.com/s/v2Bs9LFfBws

我使用的vol2既python2版本的

首先查看镜像信息

volatility -f Target.vmem imageinfo

查看密码

volatility -f Target.vmem --profile=Win7SP1x64 hashdump

使用插件mimikatz提取明文密码

kali自带的volatility安装插件
1.安装依赖库：sudo pip install construct==2.5.5-reupload
2.将解压后的py文件复制到原生插件所在的目录下面
/usr/lib/python2.7/dist-packages/volatility/plugins

volatility -f Target.vmem --profile=Win7SP1x64 mimikatz

PTF

这是一个专门找密码的软件，相当于mimikatz

Passware Kit Forensic 2021

下载链接：https://www.aliyundrive.com/s/54Zr4hjdzhX

安装

看下同目录的txt文件

使用

以提取vmem格式内存文件中的win密码为例

因为vmem文件属于内存文件，所以选择Memory Analysis

选择文件，选择系统版本，只选windows速度会快，点击next

软件很快就跑出了密码

取证大师

国产综合类取证工具

安装

安装前下载安装 revo，此工具会记录安装软件安装时注册表的变化，卸载软件时删除相关注册表，可以反复试用

右击取证大师安装文件选择使用revo安装，安装结束后使用即可

使用

题目附件：https://pan.baidu.com/s/1XPGe-CeCrEVHHBads1U8jA

提取码：9k9n

下载解压，首先新建案例打开文件夹

可以看到取证结果

Magnet AXIOM

国外的一款图形化取证工具，功能类似于取证大师

下载链接：https://www.aliyundrive.com/s/EpRbevKEUi5

安装

下载链接：

图形化安装很简单，安装后需要替换文件，把这两个文件夹复制到软件安装目录，全部替换

使用

还是用上个附件

新建案例，选择证据源计算机，选择文件和文件夹

选择合适系统，分析证据，分析过程中cpu占用比较大，时间也比较久

时间是真的比较久

总结下吧

• volatility就是专用于内存取证的工具，非常的强大，其他几个软件内存分析也是基于volatility进行的
• 其他三个工具都是综合的取证工具，可以用于内存取证也可以用于磁盘取证，整体功能比较强大，当然文件也是比较大，而且都需要一定程度的pojie才能使用