后边的关卡在陆续发
OtterCTF-Memory Forensics
最近在学取证将自己的解题过程记录一下
1.What the password?
- you got a sample of rick’s PC’s memory. can you get his user password?(你得到了瑞克电脑内存的样本,你能得到他的用户密码吗?
- 使用
volatility -f qz.vmem imageinfo
获取基本信息 profile为Win7SP1x64
volatility -f qz.vmem --profile=Win7SP1x64 hashdump
用hashdump查看一下密码 发现全是MD5加密过的
volatility -f qz.vmem --profile=Win7SP1x64 lsadump
用lsadump获取一下明文的密码
- 得到 CTF{MortyIsReallyAnOtter}
2.General Info
- Let’s start easy - whats the PC’s name and IP address?(让我们从简单的开始–电脑的名称和IP地址是什么?)
volatility -f qz.vmem --profile=Win7SP1x64 netscan
使用netscan查看IP地址 得到IP地址:192.168.202.131
volatility -f qz.vmem --profile=Win7SP1x64 hivelist
使用hivelist查看注册表
volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey
使用printkey查看注册表system值
接下来在表里进行翻找
volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"
volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"
翻到这里时发现了一个名为ComputerName的值
volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"
一直不停的解析
volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
- 电脑名称: WIN-LO6FAF3DTFE IP地址:192.168.202.131
