windows内存取证-中等难度-下篇

vlan9112023-11-02 20:44

上文我们对第一台Target机器进行内存取证,今天我们继续往下学习,内存镜像请从上篇获取,这里不再进行赘述​

Gideon

攻击者访问了"Gideon",他们向AllSafeCyberSec域控制器窃取文件,他们使用的密码是什么?

攻击者执行了net use z: \10.1.1.2\c$ 指令将 10.1.1.2域控制器的C盘映射到本地的Z盘,并且使用了rar压缩工具将文件存储在 crownjewlez.rar里,所以密码就在这里了

攻击者创建的RAR文件的名称是什么?

攻击者向RAR压缩包添加了多少文件?

bash 复制代码 
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdline  
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdscan

将进程导出成dmp格式

bash 复制代码 
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 memdump -p 3048 -D ./rar

直接搜索关键字,按照txt格式搜索就可以

bash 复制代码 
strings -e l 3048.dmp | grep -10 crownjewlez | grep txt

这里乱七八糟的,数来数去也就是3个,这里grep txt的原因是因为我们在上面的*txt就已经知道别人只是把txt文件压缩了,所以我们只要看txt文件就行

后来发现不用导出

bash 复制代码 
strings -e l  target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt

攻击者似乎在Gideon的机器上创建了一个计划任务。与计划任务关联的文件的名称是什么?

bash 复制代码 
 ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 filescan | grep 'System32\\Tasks'

导出

bash 复制代码 
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fc399b8 -D ./task


POS

恶意软件的CNC服务器是什么?

老规矩,先看第三个镜像的信息

bash 复制代码 
./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss imageinfo

网络扫描

bash 复制代码 
./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 netscan

暂时看到iexplore.exe ,该进程贯穿核心,而后我们继续往下看,尝试过滤一下恶意代码扫描结果

bash 复制代码 
./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418  malfind | grep iexplore.exe

暂时对应了,所以此题答案就是54.84.237.92

用于感染POS系统的恶意软件的家族是什么?

笔者尝试了很多方法都没有找到正确的木马家族,然后就看了一下国外大佬的,才知道原来malfind也可以导出文件

bash 复制代码 
./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 malfind -p 3208 -D ./tmp



Allsafecybersec的具体应用程序是什么?

bash 复制代码 
strings process.0x83f324d8.0x50000.dmp| grep exe

恶意软件最初启动的文件名是什么?

bash 复制代码 
./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 iehistory

或者将3208进程导出来

bash 复制代码 
 ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 memdump -p 3208 -D ./tmp
bash 复制代码 
strings 3208.dmp| grep exe | grep all

到此就告一段落了,下期将会出一个简单的流量溯源,关于tomcat 的网络取证场景,敬请期待吧

相关推荐
内心如初2 天前
alias 后门从入门到应急响应
权限维持·应急响应·安全运维·蓝队
落寞的魚丶2 天前
2024 年浙江省网络安全行业网络安全运维工程师项目 职业技能竞赛网络安全运维工程师(决赛样题)
应急响应·2024浙江省安全行业赛·网络安全运维工程师·职业技能景赛·cms渗透测试
内心如初3 天前
SSH公私钥后门从入门到应急响应
权限维持·应急响应·安全运维
亿.61 个月前
Otterctf 2018 内存取证 (复现)
ctf·内存取证
Pluto-20032 个月前
IP溯源工具--IPTraceabilityTool
tcp/ip·网络安全·应急响应·溯源·攻防演练·it工具
乌鸦安全3 个月前
阿里云ECS实例镜像本地取证
安全·阿里云·应急响应·取证分析·乌鸦安全
Simon_Smith3 个月前
2024HW面试 中高级面试面经背诵笔记(持续更新)
笔记·面试·渗透测试·应急响应·护网
脸红ฅฅ*的思春期3 个月前
玄机平台应急响应—apache日志分析
apache·日志分析·应急响应·玄机平台
脸红ฅฅ*的思春期4 个月前
玄机平台应急响应—Linux日志分析
网络安全·应急响应·玄机平台·linux日志分析
满心欢喜love4 个月前
知攻善防应急响应靶机训练-Web2
靶机·应急响应
热门推荐
01RAG 实践- Ollama+RagFlow 部署本地知识库02组基轨迹建模 GBTM的介绍与实现(Stata 或 R)032024年高教社杯数学建模国赛C题超详细解题思路分析04yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)05苍穹外卖面试总结06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07浏览器插件——ModHeader 的分享和学习08Coze扣子平台完整体验和实践(附国内和国际版对比)09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10CCF-CSP认证考试 202406-3 文本分词 100分题解