Exited3n
15.11.2023, 13:40
Задача из форензиики.
Дан файл memdump, это образ памяти
Описание таска:
Подозреваемый любит рисовать котиков, найдешь его последнюю работу?
Оно же является небольшой подсказкой. Надо искать графические редакторы, просмотрщики картинок и тому подобное.
Приступим, для работы с памятью нам поможет замечательный инструмент - volatility2/3
GitHub - volatilityfoundation/volatility: An advanced memory forensics framework
An advanced memory forensics framework. Contribute to volatilityfoundation/volatility development by creating an account on GitHub.
github.comКонкретно в данном таске я использовал вторую версию.
Смотрим информацию об образе -
python2 vol.py -f task.mem imageinfo
Видим что используется Win7SP1x86, подключаем данный профиль и смотрим список процессов
Bash:
python2 vol.py -f task.mem --profile
=
Win7SP1x86 pstree
Меня заинтересовал процесс mspaint.exe с PID'ом - 3600
Сделаем дамп данного процесса:
Bash:
python2 vol.py -f task.mem --profile
=
Win7SP1x86 memdump -p
3600
--dump-dir
=
output
На выходе получим RAW (сырой слепок процесса из памяти) данные.
Т.к. в описание сказано про картинку, нам понадобится GIMP - GIMP
Открываем как RAW image data
https://forum.antichat.xyz/attachments/29108264/1700040972344.png
Нам придется поиграться с разрешением изображения, а также смещением (offset)
Находим нашего котика и флаг
https://forum.antichat.xyz/attachments/29108264/1700041165684.png
До новых встреч!
Дан файл memdump, это образ памяти
Описание таска:
Подозреваемый любит рисовать котиков, найдешь его последнюю работу?
Оно же является небольшой подсказкой. Надо искать графические редакторы, просмотрщики картинок и тому подобное.
Приступим, для работы с памятью нам поможет замечательный инструмент - volatility2/3
GitHub - volatilityfoundation/volatility: An advanced memory forensics framework
An advanced memory forensics framework. Contribute to volatilityfoundation/volatility development by creating an account on GitHub.
github.comКонкретно в данном таске я использовал вторую версию.
Смотрим информацию об образе -
python2 vol.py -f task.mem imageinfo
Видим что используется Win7SP1x86, подключаем данный профиль и смотрим список процессов
Bash:
python2 vol.py -f task.mem --profile
=
Win7SP1x86 pstree
Меня заинтересовал процесс mspaint.exe с PID'ом - 3600
Сделаем дамп данного процесса:
Bash:
python2 vol.py -f task.mem --profile
=
Win7SP1x86 memdump -p
3600
--dump-dir
=
output
На выходе получим RAW (сырой слепок процесса из памяти) данные.
Т.к. в описание сказано про картинку, нам понадобится GIMP - GIMP
Открываем как RAW image data
https://forum.antichat.xyz/attachments/29108264/1700040972344.png
Нам придется поиграться с разрешением изображения, а также смещением (offset)
Находим нашего котика и флаг
https://forum.antichat.xyz/attachments/29108264/1700041165684.png
До новых встреч!