windows内存取证-中等难度-下篇

上文我们对第一台Target机器进行内存取证,今天我们继续往下学习,内存镜像请从上篇获取,这里不再进行赘述​

Gideon

攻击者访问了"Gideon",他们向AllSafeCyberSec域控制器窃取文件,他们使用的密码是什么?

攻击者执行了net use z: \10.1.1.2\c$ 指令将 10.1.1.2域控制器的C盘映射到本地的Z盘,并且使用了rar压缩工具将文件存储在 crownjewlez.rar里,所以密码就在这里了

攻击者创建的RAR文件的名称是什么?

攻击者向RAR压缩包添加了多少文件?

bash 复制代码
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdline  
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdscan

将进程导出成dmp格式

bash 复制代码
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 memdump -p 3048 -D ./rar

直接搜索关键字,按照txt格式搜索就可以

bash 复制代码
strings -e l 3048.dmp | grep -10 crownjewlez | grep txt

这里乱七八糟的,数来数去也就是3个,这里grep txt的原因是因为我们在上面的*txt就已经知道别人只是把txt文件压缩了,所以我们只要看txt文件就行

后来发现不用导出

bash 复制代码
strings -e l  target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt

攻击者似乎在Gideon的机器上创建了一个计划任务。与计划任务关联的文件的名称是什么?

bash 复制代码
 ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 filescan | grep 'System32\\Tasks'

导出

bash 复制代码
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fc399b8 -D ./task


POS

恶意软件的CNC服务器是什么?

老规矩,先看第三个镜像的信息

bash 复制代码
./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss imageinfo

网络扫描

bash 复制代码
./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 netscan

暂时看到iexplore.exe ,该进程贯穿核心,而后我们继续往下看,尝试过滤一下恶意代码扫描结果

bash 复制代码
./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418  malfind | grep iexplore.exe

暂时对应了,所以此题答案就是54.84.237.92

用于感染POS系统的恶意软件的家族是什么?

笔者尝试了很多方法都没有找到正确的木马家族,然后就看了一下国外大佬的,才知道原来malfind也可以导出文件

bash 复制代码
./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 malfind -p 3208 -D ./tmp



Allsafecybersec的具体应用程序是什么?

bash 复制代码
strings process.0x83f324d8.0x50000.dmp| grep exe 

恶意软件最初启动的文件名是什么?

bash 复制代码
./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 iehistory 

或者将3208进程导出来

bash 复制代码
 ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 memdump -p 3208 -D ./tmp 
bash 复制代码
strings 3208.dmp| grep exe | grep all 

到此就告一段落了,下期将会出一个简单的流量溯源,关于tomcat 的网络取证场景,敬请期待吧

相关推荐
borgeous1 个月前
第一届“帕鲁杯”应急响应wp
分布式·安全·应急响应
内心如初2 个月前
alias 后门从入门到应急响应
权限维持·应急响应·安全运维·蓝队
落寞的魚丶2 个月前
2024 年浙江省网络安全行业网络安全运维工程师项目 职业技能竞赛网络安全运维工程师(决赛样题)
应急响应·2024浙江省安全行业赛·网络安全运维工程师·职业技能景赛·cms渗透测试
内心如初2 个月前
SSH公私钥后门从入门到应急响应
权限维持·应急响应·安全运维
亿.62 个月前
Otterctf 2018 内存取证 (复现)
ctf·内存取证
Pluto-20034 个月前
IP溯源工具--IPTraceabilityTool
tcp/ip·网络安全·应急响应·溯源·攻防演练·it工具
乌鸦安全5 个月前
阿里云ECS实例镜像本地取证
安全·阿里云·应急响应·取证分析·乌鸦安全
Simon_Smith5 个月前
2024HW面试 中高级面试面经背诵笔记(持续更新)
笔记·面试·渗透测试·应急响应·护网
脸红ฅฅ*的思春期5 个月前
玄机平台应急响应—apache日志分析
apache·日志分析·应急响应·玄机平台
脸红ฅฅ*的思春期5 个月前
玄机平台应急响应—Linux日志分析
网络安全·应急响应·玄机平台·linux日志分析