后边的关卡在陆续发

OtterCTF-Memory Forensics

最近在学取证将自己的解题过程记录一下

1.What the password?

• you got a sample of rick’s PC’s memory. can you get his user password?（你得到了瑞克电脑内存的样本，你能得到他的用户密码吗？
• 使用

volatility -f qz.vmem imageinfo

获取基本信息 profile为Win7SP1x64

volatility -f qz.vmem --profile=Win7SP1x64 hashdump

用hashdump查看一下密码 发现全是MD5加密过的

volatility -f qz.vmem --profile=Win7SP1x64 lsadump

用lsadump获取一下明文的密码

• 得到 CTF{MortyIsReallyAnOtter}

2.General Info

• Let’s start easy - whats the PC’s name and IP address?（让我们从简单的开始–电脑的名称和IP地址是什么？）

volatility -f qz.vmem --profile=Win7SP1x64 netscan

使用netscan查看IP地址 得到IP地址：192.168.202.131

volatility -f qz.vmem --profile=Win7SP1x64 hivelist

使用hivelist查看注册表

volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey

使用printkey查看注册表system值

接下来在表里进行翻找

volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"

volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"

翻到这里时发现了一个名为ComputerName的值

volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"

一直不停的解析

volatility -f qz.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

• 电脑名称： WIN-LO6FAF3DTFE IP地址:192.168.202.131