小记

不出意外的话，应该是最后一次在博客上面更新有关评估的内容了，啊啊啊啊啊，这呆逼比赛时间终于定了，马上比完就可以做自己的事情了，在资源和信息一直落后于别人的情况下，我四处不要脸的舔着大哥们要资料，真是对我太好了～
单机取证咋说呢，给我的感觉就是做的想吐，在做这一份的时候，我有一半都是看着wp操作的，大佬们别骂我。也是慢慢总结一点小思路出来，比打ctf难受多了，我要和你们这群ctf✌️爆了。

题目

老规矩，答案起手

Evidence1

先把图片导出，丢kali里面分离，发现有个zip解压得到的文本里面就是第一个了

Evidence2

发现后缀和文件头不同，存着看看吧

保存打开发现是伪加密，改一下就好了

Evidence3

看到图片的高不对劲，图片不完整，尝试一下

Evidence4

因为我习惯性一个一个点，这个啥也不用干，就看到了

Evidence5

因为文件头和后缀不一致，winhex打开，才看到有一个base32，解密就好

Evidence6

音频隐写，放在audacity里面，发现是摩斯密码

解密一下

Evidence7

发现后缀是xml，但是文件头是图片，下载下来看看，看看隐写

Evidence8

发现也是文件头和后缀不一致，winhex打开发现后面一大段二进制

直接解密

Evidence9

还是后缀不同，解压，打开表格发现没东西，改一下字体颜色就好

Evidence10

直接用zsteg查看，但是直接看的话，又很多，加grep使用

zsteg -a 01d98.gif |grep Evi 

是的，福建还没下文件，我最近精神状态感觉也有点问题了，一直不能收心学习，感觉人有点轻微的抑郁了，烦烦烦，感觉最烦的事情应该就是考上这学校和答应打评估了。
评估的一些文章可以参考我大哥的
信息安全与评估

题目介绍

A集团某电脑系统感染恶意程序，导致系统关键文件被破坏，该集团的技术人员已及时发现入侵行为，并对系统内存和硬盘做了镜像固定。请根据A集团提供的磁盘镜像和内存镜像的原始证据，分析并提取入侵行为证据。（本题所需要分析的操作系统为windows系列或linux 系列）。

找到内存中的恶意进程

查看进程

./volatility -f adminnc.raw --profile=Win2003SP1x86 pslist

找到恶意程序偏移后的进程号

查看所有网络连接

./volatility -f adminnc.raw --profile=Win2003SP1x86 connections

找到恶意网站链接

查看浏览器最近访问记录

./volatility -f adminnc.raw --profile=Win2003SP1x86 iehistory 

找到该文件所在的Virtual地址

./volatility -f adminnc.raw --profile=Win2003SP1x86 hivelist

0xe171b008就是虚拟内存，0x1d73e008 \Device\HarddiskVolume1\WINDOWS\system32\config\software

找到恶意程序植入系统的开机自启痕迹，将启动项中最后一次更新的时间

解析是否存在开机自启项:

./volatility -f adminnc.raw --profile=Win2003SP1x86 -o 0xe171b008 printkey -K "Microsoft\windows\CurrentVersion\Run"

shimcache 命令

./volatility -f adminnc.raw --profile=Win2003SP1x86 shimcache

答案汇总

还是之前刷的，今年听说国赛的赛制变了，感觉省赛也要变，又开始迷茫上了，有一说一不是很想打，做ctf都一个头两个大了，更别提内存取证和单机取证啊，啊啊啊，我好菜

题目介绍

收到通知，公司内部有一台闲置服务器发现了异常的流量，你是一名安全工程师，现在需要你对这台服务器进行数字取证

找出黑客成功入侵服务器的攻击时间

./volatility -f data.raw --profile Win7SP1x64 netscan

看到有httpd和phpstudy，既然是要找入侵成功的时间直接看搜搜阿帕奇的日志文件

dump下来分析，直接string搜索状态为200

找出黑客入侵系统后创建的后门账户

直接看历史执行命令

./volatility -f data.raw --profile Win7SP1x64 consoles

找出黑客下载到服务器上的恶意文件

把filescan的输出内容写入file.log中，搜索download目录，得到恶意文件

将系统之前的主机名称作为flag值提交

两种方式，一种通过查看注册表键值获取主机名，这种获取到主机名会及时更新，第二种方式通过应用程序的环境变量来获取主机名称，系统主机名更改后如果没有重启那么像”wininit.exe”这类的系统初始进程的环境变量值是不会及时改变的，通过此特性找到之前的主机名称

volatility -f data.raw --profile Win7SP1x64 envars|grep "COMPUTERNAME"

将系统管理员的账户密码作为flag值提交

hashdump后john解密

答案汇总

最近闲来无事，想着马上也要省赛了，做做内存取证，脑瓜子嗡嗡的，文章有点水，就别骂了。

A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：内存镜像（*.raw）。
请按要求完成该部分的工作任务。

先查看镜像信息，看是什么系统的

volatility.exe -f raw.raw imageinfo

然后查看进行，发现恶意的.hack.ex

volatility.exe -f raw.raw --profile=Win2008R2SP1x64 pslist

用strings搜索pass文件，然后dump下来查看

./volatility -f raw.raw --profile=Win2008R2SP1x64 filescan | grep pass

./volatility -f raw.raw --profile=Win2008R2SP1x64 dumpfiles -Q 0x000000003e296f20  -D ./

查询注册表

./volatility -f raw.raw --profile=Win2008R2SP1x64 printkey -K "Software\Microsoft\windows\shell\Associations\UrlAssociations\http\Userchoice"

知道文件是啥了，dump下来看看

./volatility -f raw.raw --profile=Win2008R2SP1x64 dumpfiles -Q 0x000000003fb406f0  -D ./

已知windows联系人文件为.contact后缀，搜索一下dump下来

./volatility -f raw.raw --profile=Win2008R2SP1x64 dumpfiles -Q 0x000000003de90340 -D ./

搜索进程然后提取出calc.exe的信息

/volatility -f raw.raw --profile=Win2008R2SP1x64 pslist |grep calc.exe

./volatility -f raw.raw --profile=Win2008R2SP1x64 memdump -p 3060 -D ./

然后用gimp打开