还是之前刷的，今年听说国赛的赛制变了，感觉省赛也要变，又开始迷茫上了，有一说一不是很想打，做ctf都一个头两个大了，更别提内存取证和单机取证啊，啊啊啊，我好菜

题目介绍

收到通知，公司内部有一台闲置服务器发现了异常的流量，你是一名安全工程师，现在需要你对这台服务器进行数字取证

找出黑客成功入侵服务器的攻击时间

./volatility -f data.raw --profile Win7SP1x64 netscan

看到有httpd和phpstudy，既然是要找入侵成功的时间直接看搜搜阿帕奇的日志文件

dump下来分析，直接string搜索状态为200

找出黑客入侵系统后创建的后门账户

直接看历史执行命令

./volatility -f data.raw --profile Win7SP1x64 consoles

找出黑客下载到服务器上的恶意文件

把filescan的输出内容写入file.log中，搜索download目录，得到恶意文件

将系统之前的主机名称作为flag值提交

两种方式，一种通过查看注册表键值获取主机名，这种获取到主机名会及时更新，第二种方式通过应用程序的环境变量来获取主机名称，系统主机名更改后如果没有重启那么像”wininit.exe”这类的系统初始进程的环境变量值是不会及时改变的，通过此特性找到之前的主机名称

volatility -f data.raw --profile Win7SP1x64 envars|grep "COMPUTERNAME"

将系统管理员的账户密码作为flag值提交

hashdump后john解密

答案汇总

最近闲来无事，想着马上也要省赛了，做做内存取证，脑瓜子嗡嗡的，文章有点水，就别骂了。

A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：内存镜像（*.raw）。
请按要求完成该部分的工作任务。

先查看镜像信息，看是什么系统的

volatility.exe -f raw.raw imageinfo

然后查看进行，发现恶意的.hack.ex

volatility.exe -f raw.raw --profile=Win2008R2SP1x64 pslist

用strings搜索pass文件，然后dump下来查看

./volatility -f raw.raw --profile=Win2008R2SP1x64 filescan | grep pass

./volatility -f raw.raw --profile=Win2008R2SP1x64 dumpfiles -Q 0x000000003e296f20  -D ./

查询注册表

./volatility -f raw.raw --profile=Win2008R2SP1x64 printkey -K "Software\Microsoft\windows\shell\Associations\UrlAssociations\http\Userchoice"

知道文件是啥了，dump下来看看

./volatility -f raw.raw --profile=Win2008R2SP1x64 dumpfiles -Q 0x000000003fb406f0  -D ./

已知windows联系人文件为.contact后缀，搜索一下dump下来

./volatility -f raw.raw --profile=Win2008R2SP1x64 dumpfiles -Q 0x000000003de90340 -D ./

搜索进程然后提取出calc.exe的信息

/volatility -f raw.raw --profile=Win2008R2SP1x64 pslist |grep calc.exe

./volatility -f raw.raw --profile=Win2008R2SP1x64 memdump -p 3060 -D ./

然后用gimp打开