是的,福建还没下文件,我最近精神状态感觉也有点问题了,一直不能收心学习,感觉人有点轻微的抑郁了,烦烦烦,感觉最烦的事情应该就是考上这学校和答应打评估了。
评估的一些文章可以参考我大哥的
信息安全与评估

题目介绍

A集团某电脑系统感染恶意程序,导致系统关键文件被破坏,该集团的技术人员已及时发现入侵行为,并对系统内存和硬盘做了镜像固定。请根据A集团提供的磁盘镜像和内存镜像的原始证据,分析并提取入侵行为证据。(本题所需要分析的操作系统为windows系列或linux 系列)。

找到内存中的恶意进程

查看进程

./volatility -f adminnc.raw --profile=Win2003SP1x86 pslist

2024-12-18T02:19:36.png

找到恶意程序偏移后的进程号

查看所有网络连接

./volatility -f adminnc.raw --profile=Win2003SP1x86 connections

2024-12-18T02:21:08.png

找到恶意网站链接

查看浏览器最近访问记录

./volatility -f adminnc.raw --profile=Win2003SP1x86 iehistory

2024-12-18T02:21:43.png

找到该文件所在的Virtual地址

./volatility -f adminnc.raw --profile=Win2003SP1x86 hivelist

2024-12-18T02:23:10.png
0xe171b008就是虚拟内存,0x1d73e008 \Device\HarddiskVolume1\WINDOWS\system32\config\software

找到恶意程序植入系统的开机自启痕迹,将启动项中最后一次更新的时间

解析是否存在开机自启项:

./volatility -f adminnc.raw --profile=Win2003SP1x86 -o 0xe171b008 printkey -K "Microsoft\windows\CurrentVersion\Run"

2024-12-18T02:24:04.png
shimcache 命令

./volatility -f adminnc.raw --profile=Win2003SP1x86 shimcache

2024-12-18T02:24:24.png

答案汇总

序号任务内容答案
1找到内存中的恶意进程flag{test.exe}
2找到恶意程序偏移后的进程号
flag{1172、3568}
3找到恶意网站链接
flag{http://192.168.44.105:8080/77sA8gJu1}
4找到该文件所在的Virtual地址
flag{0xe171b008}
5找到恶意程序植入系统的开机自启痕迹,将启动项中最后一次更新的时间
flag{2014-11-20 06:27:32}