CTF必备取证神器(volatilityPTF取证大师Magnet AXIOM)
Posted Ocean:)
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CTF必备取证神器(volatilityPTF取证大师Magnet AXIOM)相关的知识,希望对你有一定的参考价值。
在CTF比赛中好的工具往往能让解题变得顺利,在取证题中更是如此,神器让flag无处可藏
接下来会分别介绍几个取证工具安装和使用
- volatility
- PTF
- 取证大师
- Magnet AXIOM
volatility
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态
vol 存在多个版本
- exe封装版
- python2版 https://github.com/volatilityfoundation/volatility
- python3版 https://github.com/volatilityfoundation/volatility3
使用
使用的话 python 直接拿来用就行了,以提取vmem格式内存文件中的win密码为例,题目下载地址:https://www.aliyundrive.com/s/v2Bs9LFfBws
我使用的vol2既python2版本的
首先查看镜像信息
volatility -f Target.vmem imageinfo
查看密码
volatility -f Target.vmem --profile=Win7SP1x64 hashdump
使用插件mimikatz提取明文密码
kali自带的volatility安装插件
1.安装依赖库:sudo pip install construct==2.5.5-reupload
2.将解压后的py文件复制到原生插件所在的目录下面
/usr/lib/python2.7/dist-packages/volatility/plugins
volatility -f Target.vmem --profile=Win7SP1x64 mimikatz
PTF
这是一个专门找密码的软件,相当于mimikatz
Passware Kit Forensic 2021
下载链接:https://www.aliyundrive.com/s/54Zr4hjdzhX
安装
看下同目录的txt文件
使用
以提取vmem格式内存文件中的win密码为例
因为vmem文件属于内存文件,所以选择Memory Analysis
选择文件,选择系统版本,只选windows速度会快,点击next
软件很快就跑出了密码
取证大师
国产综合类取证工具
安装
安装前下载安装 revo,此工具会记录安装软件安装时注册表的变化,卸载软件时删除相关注册表,可以反复试用
右击取证大师安装文件选择使用revo安装,安装结束后使用即可
使用
题目附件:https://pan.baidu.com/s/1XPGe-CeCrEVHHBads1U8jA
提取码:9k9n
下载解压,首先新建案例打开文件夹
可以看到取证结果
Magnet AXIOM
国外的一款图形化取证工具,功能类似于取证大师
下载链接:https://www.aliyundrive.com/s/EpRbevKEUi5
安装
下载链接:
图形化安装很简单,安装后需要替换文件,把这两个文件夹复制到软件安装目录,全部替换
使用
还是用上个附件
新建案例,选择证据源计算机,选择文件和文件夹
选择合适系统,分析证据,分析过程中cpu占用比较大,时间也比较久
时间是真的比较久
总结下吧
- volatility就是专用于内存取证的工具,非常的强大,其他几个软件内存分析也是基于volatility进行的
- 其他三个工具都是综合的取证工具,可以用于内存取证也可以用于磁盘取证,整体功能比较强大,当然文件也是比较大,而且都需要一定程度的pojie才能使用
以上是关于CTF必备取证神器(volatilityPTF取证大师Magnet AXIOM)的主要内容,如果未能解决你的问题,请参考以下文章