CTF必备取证神器(volatilityPTF取证大师Magnet AXIOM)

Posted Ocean:)

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CTF必备取证神器(volatilityPTF取证大师Magnet AXIOM)相关的知识,希望对你有一定的参考价值。

在CTF比赛中好的工具往往能让解题变得顺利,在取证题中更是如此,神器让flag无处可藏

接下来会分别介绍几个取证工具安装和使用

  • volatility
  • PTF
  • 取证大师
  • Magnet AXIOM

volatility

Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态

vol 存在多个版本

  • exe封装版
  • python2版 https://github.com/volatilityfoundation/volatility
  • python3版 https://github.com/volatilityfoundation/volatility3

使用

使用的话 python 直接拿来用就行了,以提取vmem格式内存文件中的win密码为例,题目下载地址:https://www.aliyundrive.com/s/v2Bs9LFfBws

我使用的vol2既python2版本的

首先查看镜像信息

volatility -f Target.vmem imageinfo

查看密码

volatility -f Target.vmem --profile=Win7SP1x64 hashdump

使用插件mimikatz提取明文密码

kali自带的volatility安装插件
1.安装依赖库:sudo pip install construct==2.5.5-reupload
2.将解压后的py文件复制到原生插件所在的目录下面
/usr/lib/python2.7/dist-packages/volatility/plugins
volatility -f Target.vmem --profile=Win7SP1x64 mimikatz

PTF

这是一个专门找密码的软件,相当于mimikatz

Passware Kit Forensic 2021

下载链接:https://www.aliyundrive.com/s/54Zr4hjdzhX

安装

看下同目录的txt文件

使用

以提取vmem格式内存文件中的win密码为例

因为vmem文件属于内存文件,所以选择Memory Analysis

选择文件,选择系统版本,只选windows速度会快,点击next

软件很快就跑出了密码

取证大师

国产综合类取证工具

安装

安装前下载安装 revo,此工具会记录安装软件安装时注册表的变化,卸载软件时删除相关注册表,可以反复试用

右击取证大师安装文件选择使用revo安装,安装结束后使用即可

使用

题目附件:https://pan.baidu.com/s/1XPGe-CeCrEVHHBads1U8jA

提取码:9k9n

下载解压,首先新建案例打开文件夹

可以看到取证结果

Magnet AXIOM

国外的一款图形化取证工具,功能类似于取证大师

下载链接:https://www.aliyundrive.com/s/EpRbevKEUi5

安装

下载链接:

图形化安装很简单,安装后需要替换文件,把这两个文件夹复制到软件安装目录,全部替换

使用

还是用上个附件

新建案例,选择证据源计算机,选择文件和文件夹

选择合适系统,分析证据,分析过程中cpu占用比较大,时间也比较久

时间是真的比较久

总结下吧

  • volatility就是专用于内存取证的工具,非常的强大,其他几个软件内存分析也是基于volatility进行的
  • 其他三个工具都是综合的取证工具,可以用于内存取证也可以用于磁盘取证,整体功能比较强大,当然文件也是比较大,而且都需要一定程度的pojie才能使用

以上是关于CTF必备取证神器(volatilityPTF取证大师Magnet AXIOM)的主要内容,如果未能解决你的问题,请参考以下文章

CTF内存取证

内存取证三项CTF学习

Backdoor CTF 2013 :电子取证250

[内存取证]Volatility基本用法

取证技术

OtterCTF 内存取证(1-5)