内存取证-卡比卡比卡比

步骤

1.查看镜像信息

bash 复制代码
vol2 -f 内存取证.raw imageinfo

2.查看进程列表

bash 复制代码
vol2 -f 内存取证.raw --profile=Win7SP1x64 pslist

发现三个可疑进程,explorer.exe,iexplore.exe,cmd.exe。

3.查看浏览器记录

bash 复制代码
vol2 -f 内存取证.raw --profile=Win7SP1x64 iehistroy

发现浏览记录,url解码查看。

提示在文件名前加一个前缀。

在下面发存在key.png。

4.导出key.png

bash 复制代码
vol2 -f 内存取证.raw --profile=Win7SP1x64 filescan | wsl grep "key.png"
bash 复制代码
vol2 -f 内存取证.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e5e94c0 -D .

查看内容:视频的默认文件夹为Video。

扫描Video文件夹

bash 复制代码
vol2 -f 内存取证.raw --profile=Win7SP1x64 filescan | wsl grep "Video"

发现可疑的ohhh,导出,查看。

bash 复制代码
vol2 -f 内存取证.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e248a90 -D .

5.查看cmd记录

bash 复制代码
vol2 -f 内存取证.raw --profile=Win7SP1x64 cmdscan

结合前面所说的文件名前加一个前缀,文件搜索5201314。

6.查找5201314相关的

bash 复制代码
vol2 -f 内存取证.raw --profile=Win7SP1x64 filescan | wsl grep "5201314"

导出:

bash 复制代码
vol2 -f 内存取证.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e6e03c0 -D .

查看:

发现是PK开头的,猜测为zip压缩包。

改后缀为zip,需要密码,使用上述得到的密码不对,猜测可能是电脑登录密码。

7.mimikatz获取密码

bash 复制代码
vol2 -f 内存取证.raw --profile=Win7SP1x64 mimikatz

打开压缩包成功,为一段代码。

大概意思是加密了!@#importance,缺少key,而key正是上面得到的。

8.逆向

python 复制代码
import struct
key = 'xzkbyyds!'
fp = open('!@#$unimportance', 'rb')
fs = open('!@#$importance', 'wb')
data = fp.read()
for i in range(0,len(data)):
    res = struct.pack('B',data[i])
for i in range(0, len(data)):
    result = struct.pack('B', data[i] ^ ord(*key[i % len(key)]))
    fs.write(result)
fp.close()
fs.close()

得到GIF89a开头的,为gif图片。

预览时分辨率是正方形,打开时变成了长方形,说明高度被改过了,改回来。

gif的宽高在6 7 8 9四个字节内,修改67为77,然后帧分离,找到flag。

flag:DASCTF{Kirby_Yyds}

相关推荐
零零信安9 小时前
AI智能体,攻守失衡的催化剂 | 零零信安
人工智能·网络安全·数据泄露·暗网·零零信安
白帽小阳10 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
白帽小阳11 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
HackTwoHub17 小时前
AI大模型攻击思路,涵盖提示词劫持、知识库投毒、多语种混淆 + 身份伪装、诱导 AI 输出涉密后台核心配置
人工智能·安全·web安全·网络安全·自动化·系统安全·安全架构
Eastmount18 小时前
[论文阅读] (51)ESWA25 基于启发式优化器的入侵检测系统
论文阅读·网络安全·sci·入侵检测·eswa
白帽小阳18 小时前
Typora插件开发指南:打造专属IDE式写作环境
c语言·网络·python·网络安全·github·pygame·护网行动
Sagittarius_A*19 小时前
Web 渗透信息收集实战:站点指纹识别与目录扫描
网络安全·渗透测试·kali
m0_738120722 天前
PHP代码审计基础——超全局变量(三)
开发语言·安全·网络安全·php
其实防守也摸鱼2 天前
运维--怎么看接口的请求和返回
运维·学习·网络安全·网络攻击模型·burpsuite·攻防对抗·蓝队
菩提小狗3 天前
每日安全情报报告 · 2026-07-09
网络安全·漏洞·cve·安全情报·每日安全