点击上方蓝字“小谢取证”一起玩耍
前言
针对今年美亚杯资格赛中会出现内存镜像,如果从2019年美亚杯开始算起,2019年美亚杯资格赛出现了内存镜像的题目。通过整理从19年到23年美亚杯所有出现美亚杯的内存镜像发现,出现的年份有21年团体赛 20年团体赛 19年资格赛。总结得出,整理题目难度不大,只要会使用相关插件的命令即可。接下来我们详细地从历年当中出现美亚杯内存镜像进行详细地解析(手把手教你)。粉丝福利:文末附整理好的检材与Volatility工具和常用的命令下载链接。
在题目解析开始之前,先总的来说一下操作方法,即在你面对一个内存镜像的时候你应该怎么做。
面对内存镜像的三种处理方法(所使用到的小工具在文末下载)
方法一:
在取证大师的小程序当中,内存镜像解析工具支持解析Win10镜像。
//在工具集当中的镜像解析工具支持解析Win7镜像
//如21年VTM的镜像是Win10 所以在这边 直接使用取证大师当中的小程序 内存镜像进行解析。
解析完成:
方法二:当然,除了会使用自动解析工具以外,还可以使用Volatility。他有GUI版本和命令行版本。我们先讲一下图形化版本的操作方法:
方法三:命令行版本Volatility
解压后在地址栏上直接输入cmd
第一步:对内存信息进行获取
判断未知内存镜像系统版本信息
volatility -f 文件路径 imageinfo
imageinfo 用于标识操作系统、service pack和硬件体系结构(32位或64位);可能有多个建议的配置文件,我们必须选择正确的配置文件
例如:volatility -f mem.vmem imageinfo
通过这边我们也可以看出方法二中的“profile”如何选择。
(文件路径:找到文件所在位置 将该文件拖放到cmd界面即可)
第二步:使用命令
命令格式:
volatility -f 文件镜像 --profile=<运用的东西> <插件名字> <各种命令>
--profile是调用的配置文件,这个要与插件结合起来
命令:pslist/pstree/psscan :非常有用的插件,列出转储时运行的进程的详细信息;显示过程ID,该父进程ID(PPID),线程的数目,把手的数目,日期时间时,过程开始和退出
pslist无法显示隐藏/终止进程,解决这个问题可以使用psscan,
pstree同样也是扫描进程的,但是是以进程树的形式出现的
例如:volatility -f mem.vmem --profile=WinXP SP2 x86 pslist
当内容比较多时候,导出文本进一步分析查看
volatility -f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt
volatility -f bb.raw --profile=Win7SP1x86_23418 pstree
有了上述的三种方法,接下来回到真题,进入实操复盘:
2021年内存解析(一题多解):
//此题考核内存镜像中进程信息的基础知识点
答案:6136
方法一:取证大师
方法二:Workbench
方法三:命令行
答案:C E
方法一:(注意时区即可-取证大师所显示的是北京时间)
方法二:
方法三:
答案:23.200.142.82
//此次为考核内存镜像的网络连接知识点
方法一://没提取到
方法二:使用Workbench中的netscan插件
//explorer 连接了一个 IP 地址的 443 端口,该 IP 地址应为 FTP 服务器。
法三:
命令:volatility -f 文件 --profile=Win10x86 netscan
2020年(Cole的ram镜像)
89. [单选题] 在Cole笔记本的随机存取记忆体中, 是甚么Windows配置文件?(1分)
A. Win7SP1x64
B. Win7SP1x64_25000
C. Win7SP2x64
D. Win2008R2SP1x64_24418
E. Win2008R2SP2x64.
答案:A
直接使用命令 volatility -f 文件 imageinfo
//考核对内存镜像的基本信息获取知识点
//这边有很多 看第一个即可
[单选题] FTK Imager.exe的PID是甚么? (1分)
A. 368
B. 660
C. 1288
D. 2224
E. 2456.
答案:E
//考察应用进程的基本信息
法一:使用取证大师的工具集进行解析(因为是win7系统 所以这边不是使用小程序里边的内存解析工具)
法二:Workbench
法三:命令行
98.[单选题] FTK Imager.exe使用甚么DLL? (1分)
A. mmlang.dll
B. Normal.dll
C. sensapi.dll
D. Secu.dll
E. WINNS.dll.
答案:;C
//考察查看进程动态链接库信息
法一:
法二:命令行
dlllist命令:能够显示一个进程装载的动态链接库的信息,其显示列表主要包括加载的动态链接库文件的基地址、文件大小以及文件所在路径。可用 “>” 输出文档,看起来会更直观 如volatility -f bb.raw --proifile=Win7SP1x86_23418 dlllist > 1.txt
99.[单选题] MpCmdRun.exe的PID是甚么? (2分)
A. 660
B. 1288
C. 1388
D. 2240
E. 2456.
答案:B
//考查查看隐藏进程psscan命令
法一:
法二:pslist无法显示隐藏/终止进程,解决这个问题可以使用psscan
例如:volatility -f mem.vmem --profile=WinXP SP2 x86 psscan
100. [单选题] 以下哪个与MpCmdRun.exe相关的项目是正确?(2分)
A. 该进程于2020-09-17 11:15:57 UTC + 0000创建
B. 该过程于2020-09-18 01:20:57 UTC + 0000终止
C. 该进程由schost.exe启动
D. 该过程是通过网络驱动器启动的
E. 这不是合法程序.
答案:B
//考核所隐藏进程相关信息,答案由上题的解题可看出
101.[单选题] 上次启动后,笔记本计算机连接的外部IP是甚么? (1分)
A. 31.12.82.1
B. 40.10.261.1
C. 218.112.79.1
D. 218.112.172.8
E. 未连接/未连接到任何外部IP.
答案:E
//考察基本网络信息知识点,由图可看出 无连接的外部IP
102. [单选题] 上次启动后,笔记本计算机连接的网络驱动器路径是甚么? (1分)
A. E:/
B. F:/
C. G:/
D. Z:/
E. 未连接/未连接到任何外部IP.
答案:E
//见上题
2019年:HE_Company_Windows_RAM
51 分析何源的公司计算机内存镜像,何源的公司计算机操作系统以及硬件架构是什么?
A. Windows 7 x86
B. Windows 7 x64
C. Windows 8 x86
D. Windows 8 x64
E. Windows 10 x64
//由于19年资格赛美亚杯内存检材我的内存解析环境有问题,可能需要重启电脑。在这里就引用自:muxin2068大佬的解题思路:https://blog.csdn.net/muxin2068/article/details/129941501
总结:通过21年与20年、19年美亚杯的内存解析检材来看,都出现的考核点有:1.内存镜像基本信息的获取(imageinfo)2.进程基本信息查看(pslist和psscan(查看隐藏进程):子进程、父进程及程序关闭时间等) 3.动态链接库查看(dlllist)4.网络信息查看(netscan:某个应用程序所通联的IP地址)特别地, 19年资格赛还出现的考核点:1.查看缓存在内存的注册表(hivelist) 2.获取内存中的系统密码(hashdump)3.文件具体被被访问过的时间(解析MFT记录:mftparser)4.查看访问记录(timeliner)
所以有一个好的笔记及掌握常使用的命令都可迎刃而解。
最后附上福利:
粉丝后台回复“内存”即可获取。
敬请各位大佬关注:小谢取证
扫取二维码获取
更多精彩
小谢取证