最近闲来无事,想着马上也要省赛了,做做内存取证,脑瓜子嗡嗡的,文章有点水,就别骂了。
A集团某服务器系统感染恶意程序,导致系统关键文件被破坏,请分析A集团提供的系统镜像和内存镜像,找到系统镜像中的恶意软件,分析恶意软件行为。
本任务素材清单:内存镜像(*.raw)。
请按要求完成该部分的工作任务。
| 序号 | 任务内容 | 答案 |
|---|---|---|
| 1 | 请指出内存中疑似恶意进程 | .hack.ex |
| 2 | 请指出该员工使用的公司OA平台的密码 | liuling7541 |
| 3 | 员工电脑使用的默认浏览器是什么 | Tor-Browser |
| 4 | 黑客传入一个木马文件并做了权限维持,请问木马文件名是什么 | h4ck3d! |
| 5 | 黑客传入一个木马,木马会向哪个地址发起回连 | 192.168.9.64 |
| 6 | 请提交该计算机中记录的重要联系人的家庭住址 | 秋水省雁荡市碧波区千屿山庄1号 |
| 7 | 员工在电脑上正在利用计算器进行运算,运算结果是多少 | 352139 |
先查看镜像信息,看是什么系统的
volatility.exe -f raw.raw imageinfo
然后查看进行,发现恶意的.hack.ex
volatility.exe -f raw.raw --profile=Win2008R2SP1x64 pslist
用strings搜索pass文件,然后dump下来查看
./volatility -f raw.raw --profile=Win2008R2SP1x64 filescan | grep pass
./volatility -f raw.raw --profile=Win2008R2SP1x64 dumpfiles -Q 0x000000003e296f20 -D ./
查询注册表
./volatility -f raw.raw --profile=Win2008R2SP1x64 printkey -K "Software\Microsoft\windows\shell\Associations\UrlAssociations\http\Userchoice"
知道文件是啥了,dump下来看看
./volatility -f raw.raw --profile=Win2008R2SP1x64 dumpfiles -Q 0x000000003fb406f0 -D ./
已知windows联系人文件为.contact后缀,搜索一下dump下来
./volatility -f raw.raw --profile=Win2008R2SP1x64 dumpfiles -Q 0x000000003de90340 -D ./
搜索进程然后提取出calc.exe的信息
/volatility -f raw.raw --profile=Win2008R2SP1x64 pslist |grep calc.exe
./volatility -f raw.raw --profile=Win2008R2SP1x64 memdump -p 3060 -D ./
然后用gimp打开
info 评论功能已经关闭了呐!