ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Задания/Квесты/CTF/Конкурсы (https://forum.antichat.xyz/forumdisplay.php?f=112)
-   -   Изображение кота / Forensics (https://forum.antichat.xyz/showthread.php?t=1642567)

Exited3n 15.11.2023 13:40
Задача из форензиики.
Дан файл memdump, это образ памяти

Описание таска:
Цитата:

Подозреваемый любит рисовать котиков, найдешь его последнюю работу?
Оно же является небольшой подсказкой. Надо искать графические редакторы, просмотрщики картинок и тому подобное.
Приступим, для работы с памятью нам поможет замечательный инструмент - volatility2/3

GitHub - volatilityfoundation/volatility: An advanced memory forensics framework

An advanced memory forensics framework. Contribute to volatilityfoundation/volatility development by creating an account on GitHub.

github.comКонкретно в данном таске я использовал вторую версию.
Смотрим информацию об образе -
Код:
python2 vol.py -f task.mem imageinfo
Видим что используется Win7SP1x86, подключаем данный профиль и смотрим список процессов

Bash:


Код:
python2 vol.py -f task.mem --profile
=
Win7SP1x86 pstree
Меня заинтересовал процесс mspaint.exe с PID'ом - 3600

Сделаем дамп данного процесса:

Bash:


Код:
python2 vol.py -f task.mem --profile
=
Win7SP1x86 memdump -p
3600
--dump-dir
=
output
На выходе получим RAW (сырой слепок процесса из памяти) данные.
Т.к. в описание сказано про картинку, нам понадобится GIMP - GIMP
Открываем как RAW image data

https://forum.antichat.xyz/attachmen...0040972344.png

Нам придется поиграться с разрешением изображения, а также смещением (offset)
Находим нашего котика и флаг

https://forum.antichat.xyz/attachmen...0041165684.png

До новых встреч!

yetiraki 15.11.2023 22:13
Ух я помучался с разрешением и оффсетом =)))

Kevgen 13.12.2023 20:44
Классный райтап!
От себя скажу, что я обычно использую тип отображения RGBA вместо RGB, так (по крайней мере для меня) легче подобрать правильное расширение и оффсет.


Время: 18:49