0%

取证专题

取证需要用到的工具:

volatility、注册表分析工具(WRR)、AXIOM等。

例题分析

湖湘杯misc

首先看一下imageinfo

1
volatility -f 用户名注册表.vmem  imageinfo

选择一个supported profile,这里选第一个不行,所以选第二个Win2003SP2x86

先扫一下pslist

volatility -f 用户名注册表.vmem –profile=Win2003SP2x86 pslist

除了winlogon.exe之外没啥收获,然后扫一下网络,也没啥收获。

后面尝试扫描connscan,cmdscan,notepad。

在扫notepad的时候发现了一些东西,于是尝试扫一下后缀为.txt的文件,看看有没有收获。

发现了一个file.txt,尝试dump到本地。

1
volatility -f 用户名注册表.vmem  --profile=Win2003SP2x86 dumpfiles -Q 0x000000000412cde0 -D ./

dump下来的文件内容为

什么?计算机又被不知名账户登录了?明明在计算机管理中没有这个用户,为什么还会被这个用户登录呢?电脑跟前的你能帮我找到原因吗?flag为该用户的用户名以及密码的md5值。

格式:md5(用户名:密码)

下面考虑在注册表中找一下隐藏用户。

首先看一下注册表。

1
volatility -f 用户名注册表.vmem  --profile=Win2003SP2x86 hivelist volatility -f 用户名注册表.vmem  --profile=Win2003SP2x86 hivelist

发现了SAM表。SAM表是存储了电脑登录用户相关信息的表,尝试dump出SAM表。

1
volatility -f 用户名注册表.vmem  --profile=Win2003SP2x86 dumpregistry -D ./

然后使用注册表分析工具打开。

可以看到很多隐藏账户,一个个看看是否有last logon 这个属性。

最后找到了用户 FHREhpe,然后再回到volatility里面hashdump 出来关于他的账号密码。

1
2
3
volatility -f 用户名注册表.vmem  --profile=Win2003SP2x86 hashdump | grep FHREhpe
有如下数据:
FHREhpe$:1171:70fdb8f853bd427d7584248b8d2c9f9e:f3cf477fc3ea6ec0b3b5887616dd4506:::

Windows系统下的hash*密码格式为:用户名称:RID:LM-HASH:NT-HASH*值

获得NT HASH值后可以去md5网站解密,解密后的密码是NIAIWOMA

然后将其MD5加密后即可获得flag。

参考链接

https://bbs.ichunqiu.com/thread-59102-1-1.html

https://www.sqlsec.com/2019/11/winhash.html

分享