type
Post
status
Published
date
Jul 2, 2021
slug
9
summary
linux内存取证
tags
取证
category
MISC
icon
password
以下内容均为个人不切实际的猜测,如果有回旋镖,请联系我道歉
linux取证
直接这个项目
notion image
拿到banner
做镜像,用上面的项目
项目里面要改几个地方
notion image
下面这个如果没报错就不改
notion image
改成自己的unix
然后跑
拿到module.dwarf,然后去拿system.map,两个方法,一个是进docker拿,一个自己直接找deb拆出来,我直接找deb拆出来
💡
deb去哪找,一个是上面项目在运行的时候回有一些下载链接,然后去用那个,直接拆就好了,另一个就是自己去网站找,什么网站,上面巨魔的解题最后也有提到
然后打包,做好profile
丢到linux下面去
直接跑的话会有报错,因为新版本的dwarf不适配
volatility2代码需要更改,看着篇
然后就好了
然后找文件,看看桌面有什么
python2 vol.py -f png.mem --profile=Linux5_4_0-100x64 linux_enumerate_files | grep Desktop
notion image
但是导出来是空的,出题人纯nt,自己不验题,文件太大会导致镜像dump不下来,建议看https://dr34m.club/article/5,解决这个办法
但是可以直接去010翻,这个跟这个文件有关的信息,linux取证非预期很多,想出好的题目很难,所以不会出别出
看到一段代码
notion image
拿出来
rc4
notion image
分析之后是对png进行了加密,两个秘钥,看一下png文件头加密之后是什么
notion image
拿着这个去里面找,找到了,就两个,很好,说明是对的
notion image
拉出来直接解密,得到flag
notion image
💡
后记: 不会出题就别出题,别说什么这个是考点,就是自己理解不到位
另外,这个题能有这么多解是没想到的,py烂了
 
 
 
 
 
空白文章10MMSSTV