BUUCTF V&N-misc内存取证

Posted wrnan

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUUCTF V&N-misc内存取证相关的知识,希望对你有一定的参考价值。

分析镜像:

volatility -f mem.raw imageinfo

查看进程:

volatility -f mem.raw  --profile=Win7SP1x86_23418 pslist

列出我认为的可疑的进程:

explorer.exe 
TrueCrypt.exe
notepad.exe
iexplore.exe
mspaint.exe
DumpIt.exe

dump记事本、画图进程:

volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 --dump-dir=./ 
volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 2648 --dump-dir=./   

2648.bmp的后缀改为data

查看IE浏览器历史:

volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory

技术图片
我的水平只能做到这了
赛后复现:

技术图片

下载下来是一个文件VOL,在kali用file命令查看类型,data文件(右键VOL,东西不太理解,猜VOL文件是用TrueCrypt.exe加密软件加密的虚拟磁盘文件
dump TrueCrypt.exe 进程

volatility -f mem.raw --profile=Win7SP0x86 memdump -p 3364 --dump-dir=./ 

技术图片
技术图片
技术图片
技术图片
mount disk到本地:
技术图片
技术图片
技术图片

uOjFdKu1jsbWI8N51jsbWI8N5

下来就是画图那个,用GIMP处理,位移(好像就是长度),先加宽度,再加高度,然后位移大胆拖,然后慢慢调宽
技术图片

1YxfCQ6goYBD6Q

使用VeraCrypt解密VOL

技术图片

类似题目:
1、i春秋 取证2
2、roarctf2019 forensic

以上是关于BUUCTF V&N-misc内存取证的主要内容,如果未能解决你的问题,请参考以下文章

BUUCTF V&N2020 公开赛 Misc(复现)

v&n赛 内存取证题解(没做出来)

BUUCTF--[V&N2020 公开赛]strangeCpp

数据包取证总结

CTF取证总结(内存取证,磁盘取证)以及例题复现

[内存取证]Volatility基本用法