流量分析
先出示一个例题,这是长安防疫站的一道misc题
?先过滤http流量,手动分析所有返回http200的请求(http200是服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。)可以得到两个可疑的文件
?
?追踪他们两个的tcp流,
然后对第一个进行base32解码
?在对第二个进行base64解码,观察可知是zip压缩包,解压得到文件夹 chips包含和hint一一对应的图片一堆, 接下来一步就是如何将图像拼接成正常的包含flag的样子
这是流量分析比较基础的题型之一
?
内存取证
-
取证文件后缀 .raw、.vmem、.img
-
常用命令(imageinfo,pslist,dumpfiles,memdump)
-
可疑的进程(notepad,cmd)
-
和磁盘取证结合起来考察
-
了解部分操作系统原理
-
常见文件后缀dmg,img
volatility基础命令
可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令
imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一参数
pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以
pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程
psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
cmdscan:可用于查看终端记录
notepad:查看当前展示的 notepad 文本(–profile=winxp啥的低版本可以,win7的不行,可以尝试使用editbox)
filescan:扫描所有的文件列表
linux配合 grep 命令进行相关字符定向扫描,如:grep flag、grep -E ‘png|jpg|gif|zip|rar|7z|pdf|txt|doc’
dumpfiles:导出某一文件(指定虚拟地址)
需要指定偏移量 -Q 和输出目录 -D
memdump:提取出指定进程,常用foremost 来分离里面的文件
需要指定进程-p [pid] 和输出目录 -D
editbox:显示有关编辑控件(曾经编辑过的内容)的信息
screenshot:保存基于GDI窗口的伪截屏
clipboard:查看剪贴板信息
iehistory:检索IE浏览器历史记录
systeminfo:显示关于计算机及其操作系统的详细配置信息(插件)
hashdump:查看当前操作系统中的 password hash,例如 Windows 的 SAM 文件内容(mimikatz插件可以获取系统明文密码)
mftparser:恢复被删除的文件
svcscan:扫描 Windows 的服务
connscan:查看网络连接
envars:查看环境变量
dlllist: 列出某一进程加载的所有dll文件
hivelist: 列出所有的注册表项及其虚拟地址和物理地址
timeliner: 将所有操作系统事件以时间线的方式展开