type
Post
status
Published
date
Apr 5, 2023
slug
5
summary
校赛出题记录
tags
出题记录
category
MISC
icon
password
为了准备校赛,准备了一个内存取证的题目,既然是校赛的,肯定不能搞简单的win7了,试了下win10,如果要原汁取证好像没什么能搞的(指不上那些cs马之类的,cmd好像也读不到,搞了也麻烦,这种不如拿去投题),就简单尝试linux。就简单记录一下。
1、确定版本
先后尝试了22.04,20.04的ubuntu,他们的版本好像太高了,测了几种之后,好像是5.14版本以上的内核,vol2就分析不出来了,得用vol3才行,嫌麻烦就不用了,最后敲定了18.0.4.4版本的ubuntu,内核版本是
Linux version 4.15.0-20-generic (buildd@lgw01-amd64-039) (gcc version 7.3.0 (Ubuntu 7.3.0-16ubuntu3)) #21-Ubuntu SMP Tue Apr 24 06:16:15 UTC 2018 (Ubuntu 4.15.0-20.21-generic 4.15.17)
2、开始出题
首先需要了解什么是内存镜像
内存为易失性储存设备,电子设备在断电后的短时间内,内存中就会丢失数据,从而失去分析价值;但是随着技术的进步,只要在设备断电后快速将内存卸下,并接入专用设备,也可以从残留的数据中提取证据。更何况大部分情况下,取证人员可以直接在现场,保持设备通电开机的情况下,直接对目标设备的内存进行取证工作,从而给完整提取目标设备的内存数据提供了机会。 不同于直接对硬盘、手机、储存卡等设备进行取证,内存取证由于其为设备的内存数据,其天生就为电子取证的重要一点:因为设备在运行中,凡是涉及到数据的解析,在内存中大多都是以中间态或最后的明文态而存在;而在硬盘等设备中,数据可以进行加密,进行混淆,就大大增加了分析难度。故在电子取证中,内存取证往往为最为重要的一环。 对于比赛中所接触到的内存取证,选手大多拿到的都是已经提取好的内存镜像文件,也就是内存数据的原始完整拷贝,这已经从开局就大大简化了内存取证的难度。而选手接下来所要面对的,就是对内存数据进行解析。对于内存数据,最为常用的工具便是Volatility Framework
,其为Volatility Foundation
所开发的一款对内存取证分析提供支持的框架,对多平台电子设备的内存数据均提供了支持,并且也支持加载第三方模块来增加功能
就跟普通的出题,往里面丢就好,不过会碰到一个小问题,就是碰到大文件,可能会dmp不下来,可以在里面装一个010editor,然后打开,稍微编辑保存改回来就可以,然后就可以dump下来了。因为内存取证,终归还是残留数据。
然后就用avml dump就行
./avml xxx.dmp
出题其实很简单,主要是做题比较难。
- 作者:Dr34m
- 链接:https://tangly1024.com/article/5
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。