[misc][取證類]取證2 350

0x00 已知條件

題目給出了一個VMware的虛擬機(jī)內(nèi)存快照文件“mem.vmem”和一個不知道什么的“suspicion”文件。
同時還提示有“取證神器”這么個東西。

0x01 思考過程

  1. 第一次接觸此類問題,首先搜索了一下CTF取證類問題的基本思路,找到了應(yīng)對內(nèi)存鏡像分析的“Volatility”這個工具。

內(nèi)存鏡像分析
多年來計算機(jī)取證經(jīng)常被看作是文件系統(tǒng)取證,但當(dāng)攻擊者們越來越熟練時,它們開始避開硬盤進(jìn)行攻擊。同時內(nèi)存快照由于保存了實時環(huán)境(系統(tǒng)設(shè)置、遠(yuǎn)程腳本、密碼、密鑰等)這些無法在硬盤上找到的線索。所以內(nèi)存快照/鏡像取證是這些年事故響應(yīng)中越來越多的方法。在CTF競賽中,你可能會遇到提供一個內(nèi)存鏡像文件,并讓你從中定位和提取一個隱藏文件或信息的題目。
用于內(nèi)存鏡像分析的主流開源框架是Volatility,Volatility是一個支持解析外部工具采集的內(nèi)存獎項(例如VM采集的VMware內(nèi)存鏡像)的Python腳本。在提供內(nèi)存鏡像文件和相關(guān)資料(從鏡像中獲取的系統(tǒng))后,Volatility能夠開始識別數(shù)據(jù)的結(jié)構(gòu),運行進(jìn)程,密碼等資料。它還支持提取多種信息的人工插件拓展功能。

  1. 裝好Volatility,查看所有進(jìn)程,發(fā)現(xiàn)最下面有個TrueCrypt.exe。搜索發(fā)現(xiàn)是個磁盤、硬盤加密工具,那個“suspicion”文件多半就是經(jīng)TrueCrypt加密過后的文件,下面試著破解。
    image.png
  2. 本地已有的破解環(huán)境有oclhashcat,本著最簡便的做法打算直接用它嘗試破解。

  • 既然如此,首先得把suspicion文件的相關(guān)內(nèi)存dump出來,用Volatility即可完成。將TrueCrypt.exe進(jìn)程(PID 2012)dump出來,結(jié)果文件為2012.dmp。


    image.png
  • 然而oclhashcat中TrueCrypt的hash類型組合眾多,如下。且并不知道具體的類型,嘗試起來需要大量時間,更不知道密碼位數(shù)(這才是關(guān)鍵吧喂),放棄。
image.png
  1. 搜索TrueCrypt的專門破解工具。前面找到的大多是基于暴破加字典的方法,時間成本同樣很高,暫不考慮。最后發(fā)現(xiàn)了Elcomsoft Forensic Disk Decryptor,據(jù)稱破解速度很快(自行尋找破解版軟件)。
  • 那么下面就是使用工具了。而且它還有直接解鎖/掛載硬盤的選項,更加方便。
image.png
  • 接下來選擇要破解的文件(suspicion)和內(nèi)存dump文件(即上面的2012.dmp)即可。最終結(jié)果如下:
BEGIN KEYS SEARCH
Progress: 100% [   89  of    89 MB]

END SEARCHING
Time: 9 seconds.

Search result:
Algorithm: 'TrueCrypt' Volume Master Keys
Key data (hex): 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
  • 最后直接掛載,本地多出掛載的卷,找到目標(biāo)。
image.png
image.png
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 取證類題目 在CTF中,取證賽題包括了文件分析、隱寫、內(nèi)存鏡像分析和流量抓包分析。任何要求檢查一個靜態(tài)數(shù)據(jù)文件(與...
    查無此人asdasd閱讀 1,503評論 0 2
  • linux資料總章2.1 1.0寫的不好抱歉 但是2.0已經(jīng)改了很多 但是錯誤還是無法避免 以后資料會慢慢更新 大...
    數(shù)據(jù)革命閱讀 13,364評論 2 33
  • 窗外的小雨 汪洋著綻放 數(shù)不盡的水泡連成一片 綻放、消散、消散、綻放 飛鳥在空中盤旋 它銜著那顆心 是我的呀 顫抖...
    雨澤大森林閱讀 230評論 0 2
  • 11月12日,這天麻麻第一次見你——四維彩超。你很頑皮,第一次做四維時,你不肯露臉,趴在麻麻懷里,還是橫位(...
    凈慧明心閱讀 653評論 0 0
  • 文/一土 我如果恨你,我會與你作一墻之隔的近鄰。在春天,我播種下太陽花的籽,然后綻放在你的圍墻邊。那時我與你的一切...
    雨下撒哈拉閱讀 571評論 2 5

友情鏈接更多精彩內(nèi)容