购物网站建设咨询,网站组成元素,网站建设可以在家做吗,项目计划书范文这是题目和wolatility2.6的链接
链接#xff1a;https://pan.baidu.com/s/1wNYJOjLoXMKqbGgpKOE2tg?pwdybww 提取码#xff1a;ybww --来自百度网盘超级会员V4的分享
压缩包很小#xff0c;题目也比较简单基础#xff0c;可以供入门使用
1#xff1a;Which volatility…这是题目和wolatility2.6的链接
链接https://pan.baidu.com/s/1wNYJOjLoXMKqbGgpKOE2tg?pwdybww 提取码ybww --来自百度网盘超级会员V4的分享
压缩包很小题目也比较简单基础可以供入门使用
1Which volatility profile would be best for this machine? 我理解为机器的名字是什么
首先就查看一个操作系统这里查看操作系统好像只有v2可以v3不知道为什么是没有这个功能的 首先写 volatility.exe -f 把内存拖入imageinfo
VolatilityWorkbench-v2.1volatility.exe -f C:\Users\86156\Desktop\基础篇工具及映像\CYBERDEF-567078-20230213-171333.raw imageinfo 一般建议系统的第一个就是真正的系统
然后这个地方我们要学习一下内存时间这个地方第一个时间
相差8小时我不知道有什么区别从utc来看都是一样的
前者是实际的时间vol解析是算utc0的标准时间
然后后面的那个是本机显示时间有一个local就是电脑实际显示时间 2.How many processes were running when the image was acquired? 获取到这个映像的时候有多少个进程是正在运行的
pslist
pslist是看正在运行 pstree和这个差不多
psscan是查看死去和活进程 3.What is the process ID of cmd.exe? CMD进程的PID号码是多少
还是很明显的就是1960 4.What is the name of the most suspicious process? 最可疑的进程是什么名字 这里按理说要一个一个整理但是我发现了chat的妙用这几把太厉害了 最终还是他看出来了 5.Which process shows the highest likelihood of code injection? 哪一个进程被注入的可能性最高 此题其实考验对rootkit病毒的熟知程度通常情况下rootkit病毒在windows系统中最喜欢干的事就是通过svchost进程进行捆绑因为svchost是系统守护程序是不能通过常规手段停止的那么任何与之关联的程序也都没有办法通过常规杀软去清除因为svchost启动等级高于常规杀软所以若是想清除与svchost捆绑的程序需要进入到系统安全模式下并使用最小化启动然后找到svchost注册表项清除对应捆绑关系再删掉木马就行了。 6.There is an odd file referenced in the recent process. Provide the full path of that file. 接上题该进程在运行过程中引用了一个奇怪的文件文件完整路径是什么
思路就是看svchost在运行过程中我们要看他调用什么文件
所以就是找到svchost这个端口的880 调用过的文件 ./volatility_2.6_lin64_standalone -f CYBERDEF-567078-20230213-171333.raw profileWinXPSP2x86 -p 880 handles -t file -p 是指定进程 ID 的选项 handles 是用于打印每个进程的打开句柄列表的插件命令 -t 是一个选项用于指定您希望结果显示的对象类型。 此题依然考验对rootkit病毒的理解通常情况下rootkit会释放两个文件一个是sys驱动文件一个是dll文件rootkit自身只是一个释放程序dll文件自身功能通常为通信木马sys驱动程序为保活文件 7.What is the name of the injected dll file loaded from the recent process? 接上题该进程在运行过程中被注入的DLL文件是什么 如果在windows运行grep可能会报错
推荐内存还是在kali里面做好一点但是由于我kali环境没好所以就win吧
./volatility_2.6_lin64_standalone -f CYBERDEF-567078-20230213-171333.raw profileWinXPSP2x86 ldrmodules -p 880 | grep -i false 没通过校验所以就是msxnl3.dll这个文件
ldrmodules 是用于检测未链接 DLL 的插件命令 grep -i false 这是为了过滤以仅显示带有单词“false”的结果 这里其实就是通过恶意的dll文件是未签名的来寻找因为正常的dll动态链接库都是通过了签名校验的但是恶意的dll文件是没有通过签名校验的PChunter找病毒也是一样的原理
8.What is the base address of the injected dll? 这个注入的dll文件的内存地址是什么
查询注入malfind 是查找隐藏和注入代码的插件命令这个命令很强大直接输入会显示很多结果为了要求显示svchost下的必须要指定880端口进行过滤
所以命令是malfind -p 880 ./volatility_2.6_lin64_standalone -f CYBERDEF-567078-20230213-171333.raw profileWinXPSP2x86 malfind -p 880 malfind 是查找隐藏和注入代码的插件命令 我们可以把该dll文件导出到我们想要的目录里
dlldump -p 880 --base0x980000 --dump-dir.
注意这个每个结构都不可或缺
./volatility_2.6_lin64_standalone -f CYBERDEF-567078-20230213-171333.raw profileWinXPSP2x86 dlldump -p 880 --base0x980000 --dump-dir. dlldump 导出dll文件的插件 --base 指定内存地址 --dump-dir 指定存放路径如果当前路径就加一点 . 这里用微步验证一下 确定就是这个恶意
