一文教你学会解析内存镜像(历年美亚杯内存镜像检材汇总-附相关命令软件检材下载链接)

文摘   2024-11-05 21:30   江苏  

点击上方蓝字“小谢取证”一起玩耍


前言





针对今年美亚杯资格赛中会出现内存镜像,如果从2019年美亚杯开始算起,2019年美亚杯资格赛出现了内存镜像的题目。通过整理从19年到23年美亚杯所有出现美亚杯的内存镜像发现,出现的年份有21年团体赛 20年团体赛 19年资格赛。总结得出,整理题目难度不大,只要会使用相关插件的命令即可。接下来我们详细地从历年当中出现美亚杯内存镜像进行详细地解析(手把手教你)。粉丝福利:文末附整理好的检材与Volatility工具和常用的命令下载链接。      

 










  在题目解析开始之前,先总的来说一下操作方法,即在你面对一个内存镜像的时候你应该怎么做。

面对内存镜像的三种处理方法(所使用到的小工具在文末下载)

方法一:

在取证大师的小程序当中,内存镜像解析工具支持解析Win10镜像。

   

         

 

//在工具集当中的镜像解析工具支持解析Win7镜像

         

 

//如21年VTM的镜像是Win10 所以在这边 直接使用取证大师当中的小程序 内存镜像进行解析。

         

 

   

         

 

解析完成:

      

 

方法二:当然,除了会使用自动解析工具以外,还可以使用Volatility。他有GUI版本和命令行版本。我们先讲一下图形化版本的操作方法:     

 

    

         

 

         

 

   

         

 

         

 

         

 

方法三:命令行版本Volatility

解压后在地址栏上直接输入cmd    

第一步:对内存信息进行获取

判断未知内存镜像系统版本信息

volatility -f  文件路径  imageinfo

imageinfo  用于标识操作系统、service pack和硬件体系结构(32位或64位);可能有多个建议的配置文件,我们必须选择正确的配置文件

例如:volatility -f  mem.vmem imageinfo

通过这边我们也可以看出方法二中的“profile”如何选择。

(文件路径:找到文件所在位置 将该文件拖放到cmd界面即可)    

         

 

第二步:使用命令

命令格式:

 volatility -f   文件镜像    --profile=<运用的东西>  <插件名字>  <各种命令>

--profile是调用的配置文件,这个要与插件结合起来

 命令:pslist/pstree/psscan  :非常有用的插件,列出转储时运行的进程的详细信息;显示过程ID,该父进程ID(PPID),线程的数目,把手的数目,日期时间时,过程开始和退出

pslist无法显示隐藏/终止进程,解决这个问题可以使用psscan,

pstree同样也是扫描进程的,但是是以进程树的形式出现的

例如:volatility -f mem.vmem --profile=WinXP SP2 x86 pslist

当内容比较多时候,导出文本进一步分析查看

 volatility -f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt      

 

volatility -f  bb.raw --profile=Win7SP1x86_23418 pstree

有了上述的三种方法,接下来回到真题,进入实操复盘:    

2021年内存解析(一题多解):         

 

//此题考核内存镜像中进程信息的基础知识点

答案:6136

方法一:取证大师

         

 

方法二:Workbench    

         

 

方法三:命令行

         

 

         

 

   

         

 

答案:C E

方法一:(注意时区即可-取证大师所显示的是北京时间)    

         

 

方法二:

         

 

方法三:    

         

 

答案:23.200.142.82

//此次为考核内存镜像的网络连接知识点

方法一://没提取到

         

 

方法二:使用Workbench中的netscan插件    

         

 

         

 

   

//explorer 连接了一个 IP 地址的 443 端口,该 IP 地址应为 FTP 服务器。

         

 

法三:

命令:volatility -f 文件 --profile=Win10x86 netscan

         

 

2020年(Cole的ram镜像)

89. [单选题] 在Cole笔记本的随机存取记忆体中, 是甚么Windows配置文件?(1分)

A. Win7SP1x64

B. Win7SP1x64_25000    

C. Win7SP2x64

D. Win2008R2SP1x64_24418

E. Win2008R2SP2x64.

答案:A

直接使用命令 volatility -f 文件 imageinfo

//考核对内存镜像的基本信息获取知识点

      

 

//这边有很多 看第一个即可      

 

[单选题] FTK Imager.exe的PID是甚么? (1分)          
A. 368          
B. 660          
C. 1288          
D. 2224          
E. 2456.

答案:E

//考察应用进程的基本信息

法一:使用取证大师的工具集进行解析(因为是win7系统 所以这边不是使用小程序里边的内存解析工具)    

         

 

         

 

法二:Workbench    

         

 

法三:命令行

         

 

   

         

 

98.[单选题] FTK Imager.exe使用甚么DLL? (1分)          
A. mmlang.dll          
B. Normal.dll          
C. sensapi.dll          
D. Secu.dll          
E. WINNS.dll.

答案:;C

//考察查看进程动态链接库信息

法一:

         

 

   

         

 

法二:命令行

dlllist命令:能够显示一个进程装载的动态链接库的信息,其显示列表主要包括加载的动态链接库文件的基地址、文件大小以及文件所在路径。可用 “>” 输出文档,看起来会更直观 如volatility -f bb.raw --proifile=Win7SP1x86_23418 dlllist > 1.txt

   

         

 

         

 

99.[单选题] MpCmdRun.exe的PID是甚么? (2分)          
A. 660          
B. 1288          
C. 1388          
D. 2240          
E. 2456.

答案:B

//考查查看隐藏进程psscan命令

法一:   

         

 

法二:pslist无法显示隐藏/终止进程,解决这个问题可以使用psscan

例如:volatility -f mem.vmem --profile=WinXP SP2 x86 psscan

         

 

         

 

   

         

 

100. [单选题] 以下哪个与MpCmdRun.exe相关的项目是正确?(2分)

A. 该进程于2020-09-17 11:15:57 UTC + 0000创建

B. 该过程于2020-09-18 01:20:57 UTC + 0000终止

C. 该进程由schost.exe启动

D. 该过程是通过网络驱动器启动的

E. 这不是合法程序.

答案:B

//考核所隐藏进程相关信息,答案由上题的解题可看出

         

 

101.[单选题] 上次启动后,笔记本计算机连接的外部IP是甚么? (1分)          
A. 31.12.82.1          
B. 40.10.261.1          
C. 218.112.79.1          
D. 218.112.172.8          
E. 未连接/未连接到任何外部IP.

答案:E

//考察基本网络信息知识点,由图可看出 无连接的外部IP    

         

 

         

 

 102. [单选题] 上次启动后,笔记本计算机连接的网络驱动器路径是甚么? (1分)          
A. E:/          
B. F:/          
C. G:/          
D. Z:/          
E. 未连接/未连接到任何外部IP. 

答案:E

//见上题

         

 

2019年:HE_Company_Windows_RAM

51 分析何源的公司计算机内存镜像,何源的公司计算机操作系统以及硬件架构是什么?         
A. Windows 7 x86          
B. Windows 7 x64          
C. Windows 8 x86          
D. Windows 8 x64          
E. Windows 10 x64
   

         

 

         

 

//由于19年资格赛美亚杯内存检材我的内存解析环境有问题,可能需要重启电脑。在这里就引用自:muxin2068大佬的解题思路:https://blog.csdn.net/muxin2068/article/details/129941501

         

 

总结:通过21年与20年、19年美亚杯的内存解析检材来看,都出现的考核点有:1.内存镜像基本信息的获取(imageinfo)2.进程基本信息查看(pslist和psscan(查看隐藏进程):子进程、父进程及程序关闭时间等) 3.动态链接库查看(dlllist)4.网络信息查看(netscan:某个应用程序所通联的IP地址)特别地, 19年资格赛还出现的考核点:1.查看缓存在内存的注册表(hivelist) 2.获取内存中的系统密码(hashdump)3.文件具体被被访问过的时间(解析MFT记录:mftparser)4.查看访问记录(timeliner)

所以有一个好的笔记及掌握常使用的命令都可迎刃而解。

最后附上福利:   

         

 

粉丝后台回复“内存”即可获取。

         

 

   

敬请各位大佬关注:小谢取证


扫取二维码获取

更多精彩

小谢取证

DFIR蘇小沐
致力于电子数据取证(数字取证)与事件应急响应实战技术经验分享,计算机取证、手机取证、网络取证与犯罪调查、数据恢复、模糊图像增强、司法鉴定等技术研究【蘇小沐】
 最新文章