技术栈
内存取证
unable code
11 天前
网络安全
·
ctf
·
misc
·
1024程序员节
·
内存取证
内存取证-[安洵杯 2019]Attack
用wireshark打开,搜索flag,发现PK开头,PK开头为zip压缩包。导出,先给为原始数据显示,然后找到504B0304,将这及之后的所有16进制复制到记事本,然后导入到010中保存为zip。
unable code
13 天前
网络安全
·
ctf
·
misc
·
1024程序员节
·
内存取证
内存取证-卡比卡比卡比
发现三个可疑进程,explorer.exe,iexplore.exe,cmd.exe。发现浏览记录,url解码查看。
unable code
13 天前
网络安全
·
ctf
·
misc
·
1024程序员节
·
内存取证
内存取证-Stager
题目说要找到目标网址。打开文件发现是powershell执行命令,将base64解码。使用powershell运行这些代码得到flag。
unable code
14 天前
网络安全
·
ctf
·
misc
·
1024程序员节
·
内存取证
内存取证-easy_mem_3
在M:\forensic\findevil\findevil.txt中查找可疑进程。筛选出Hmohgnsyc.exe。
unable code
14 天前
网络安全
·
ctf
·
misc
·
1024程序员节
·
内存取证
内存取证-easy_mem_2
2.在标识符-人员中找到用户h,再结合qq的安装路径可知:c:\Users\h\Documents\Tencent Files
unable code
15 天前
网络安全
·
ctf
·
misc
·
1024程序员节
·
内存取证
内存取证-easy_mem_1
各字段含义:build版本号:22621IP地址:192.168.26.129计算机名:ZHUYUN_S_PC
unable code
18 天前
网络安全
·
ctf
·
misc
·
内存取证
内存取证-证取单简
file不能判断,但根据文件名mem猜测是内存镜像。发现有notepad.exe,cmd.exe,explorer.exe等可疑进程,分析这几个可疑进程。
unable code
1 个月前
网络安全
·
ctf
·
misc
·
1024程序员节
·
内存取证
磁盘取证-ColorfulDisk
附件为vmdk文件,使用DiskGenius挂载,在文档中发现三个文件。导出文件。flag.zip解压需要密码,使用VeraCrypt挂载1,密码为txt里的。打开是一张图片。
unable code
1 个月前
网络安全
·
ctf
·
misc
·
1024程序员节
·
内存取证
磁盘取证-[第十章][10.1.2 磁盘取证方法]磁盘取证1
为ext3格式。选择导出目录到html搜索flag。base64解码即为flag。
Doris Liu.
1 年前
windows
·
内存取证
·
取证
·
电子数据取证
·
内存转储
使用Windows工具进行内存取证(不进行完全内存转储)
内存取证是分析易失性内存以发现恶意活动、恶意软件行为或系统异常的强大技术。一般情况下调查员会转储全部物理内存,并使用Volatility等工具对其进行分析。然而在许多实际场景中,由于系统限制、安全策略或紧迫性等原因,完全转储可能并不可行。
亿.6
2 年前
ctf
·
内存取证
Otterctf 2018 内存取证 (复现)
题目地址: https://otterctf.com/challenges描述:you got a sample of rick's PC's memory. can you get his user password?
是toto
2 年前
linux
·
centos
·
电子取证
·
内存取证
·
volatility
CentOS基于volatility2的内存取证实验
CentOS,Redhat和Fedora 都是Red Hat体系,采用yum管理器,不同于Debian、Ubuntu作为Debian体系使用apt 本文以CentOS为例,采用avml制作内存镜像,并利用volatility官方所给工具制作profile符号文件,进行简单的内存取证实验
vlan911
2 年前
ubuntu
·
应急响应
·
溯源取证
·
内存取证
Ubuntu18.04磁盘取证-中难度篇
sdb.vhd uac.tar ubuntu.20211208.memvolatility3 volatility2.6.1 FTK/Autopsy Strings
vlan911
2 年前
应急响应
·
溯源取证
·
内存取证
windows内存取证-中等难度-下篇
上文我们对第一台Target机器进行内存取证,今天我们继续往下学习,内存镜像请从上篇获取,这里不再进行赘述
我是有底线的