当前位置: 首页 > news >正文

windows内存取证-中等难度-下篇

news 2025/7/15 10:49:25

上文我们对第一台Target机器进行内存取证,今天我们继续往下学习,内存镜像请从上篇获取,这里不再进行赘述​

Gideon

攻击者访问了“Gideon”,他们向AllSafeCyberSec域控制器窃取文件,他们使用的密码是什么?

攻击者执行了net use z: \10.1.1.2\c$ 指令将 10.1.1.2域控制器的C盘映射到本地的Z盘,并且使用了rar压缩工具将文件存储在 crownjewlez.rar里,所以密码就在这里了

在这里插入图片描述

攻击者创建的RAR文件的名称是什么?

在这里插入图片描述

攻击者向RAR压缩包添加了多少文件?

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdline  
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdscan

在这里插入图片描述
将进程导出成dmp格式

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 memdump -p 3048 -D ./rar

在这里插入图片描述
直接搜索关键字,按照txt格式搜索就可以

strings -e l 3048.dmp | grep -10 crownjewlez | grep txt

在这里插入图片描述
这里乱七八糟的,数来数去也就是3个,这里grep txt的原因是因为我们在上面的*txt就已经知道别人只是把txt文件压缩了,所以我们只要看txt文件就行
后来发现不用导出

strings -e l  target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt

在这里插入图片描述

攻击者似乎在Gideon的机器上创建了一个计划任务。与计划任务关联的文件的名称是什么?

 ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 filescan | grep 'System32\\Tasks'

在这里插入图片描述
导出

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fc399b8 -D ./task

在这里插入图片描述
在这里插入图片描述

POS

恶意软件的CNC服务器是什么?

老规矩,先看第三个镜像的信息

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss imageinfo

在这里插入图片描述
网络扫描

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 netscan

在这里插入图片描述
暂时看到iexplore.exe ,该进程贯穿核心,而后我们继续往下看,尝试过滤一下恶意代码扫描结果

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418  malfind | grep iexplore.exe

在这里插入图片描述
暂时对应了,所以此题答案就是54.84.237.92
在这里插入图片描述

用于感染POS系统的恶意软件的家族是什么?

笔者尝试了很多方法都没有找到正确的木马家族,然后就看了一下国外大佬的,才知道原来malfind也可以导出文件

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 malfind -p 3208 -D ./tmp

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Allsafecybersec的具体应用程序是什么?

strings process.0x83f324d8.0x50000.dmp| grep exe

在这里插入图片描述

恶意软件最初启动的文件名是什么?

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 iehistory

在这里插入图片描述
或者将3208进程导出来

 ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 memdump -p 3208 -D ./tmp

在这里插入图片描述

strings 3208.dmp| grep exe | grep all

在这里插入图片描述
到此就告一段落了,下期将会出一个简单的流量溯源,关于tomcat 的网络取证场景,敬请期待吧

http://www.lryc.cn/news/214604.html

相关文章:

  • 代码随想录算法训练营第7天|454 四数相加II 383. 赎金信 15.三数之和 18 四数之和
  • 负载均衡深度解析:算法、策略与Nginx实践
  • 7. 一文快速学懂常用工具——Makefile
  • [ACTF2023]复现
  • HNU-编译原理-讨论课1
  • 【Linux】关于Nginx的详细使用,部署项目
  • 编写 navigation2 控制器插件
  • 计算机网络 第六章应用层
  • 人工智能领域CCF推荐国际学术刊物最新目录(全)
  • 实现基于 Azure DevOps 的数据库 CI/CD 最佳实践
  • 上海实习小记
  • uniapp实现路线规划
  • 飞利浦双串口51单片机485网关
  • 生态扩展:Flink Doris Connector
  • HarmonyOS(二)—— 初识ArkTS开发语言(上)之TypeScript入门
  • 从零开始实现神经网络(一)_NN神经网络
  • C语言 每日一题 Day10
  • C++继承——矩形和长方体
  • 代码随想录打卡第五十八天|● 583. 两个字符串的删除操作 ● 72. 编辑距离
  • 面试流程之——程序员如何写项目经验
  • 框架安全-CVE 漏洞复现DjangoFlaskNode.jsJQuery框架漏洞复现
  • 基于SSM的理发店管理系统
  • 2.Spark的工作与架构原理
  • qt-C++笔记之带有倒计数显示的按钮,计时期间按钮锁定
  • HTML全局属性(global attribute)有哪些?
  • MyBatis-Plus返回getOne返回null疑惑
  • Physics2DPlugin3加载后会跳转gsap官网解决
  • 【AI视野·今日Sound 声学论文速览 第三十二期】Tue, 24 Oct 2023
  • 在Linux上编译gdal3.1.2指南
  • 73. 矩阵置零 --力扣 --JAVA