HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Этичный хакинг или пентестинг > Задания/Квесты/CTF/Конкурсы
Перезагрузить страницу CyberDefenders Lab Brave Writeup
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 10.05.2024, 08:37
lhmdmv
Новичок
Регистрация: 09.05.2024
Сообщений: 1
С нами: 1061869

Репутация: 0
По умолчанию
1. What time was the RAM image acquired according to the suspect system? (YYYY-MM-DD HH:MM:SS)

Код:
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.info


Ответ: 2021-04-30 17:52:19

2. What is the SHA256 hash value of the RAM image?

Код:
sha256sum 20210430-Win10Home-20H2-64bit-memdump.mem


Ответ: 9db01b1e7b19a3b2113bfb65e860fffd7a1630bdf2b18613d2 06ebf2aa0ea172

3. What is the process ID of "brave.exe"?

Код:
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.pstree


Ответ: 4856

4. How many established network connections were there at the time of acquisition? (number)

Код:
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.netscan | grep "ESTABLISHED"


Ответ: 10

5. What FQDN does Chrome have an established network connection with?

Код:
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.netscan | grep "chrome"


Далее можно воспользоваться сервисом AbuseIPDB.



Ответ: protonmail.ch

6. What is the MD5 hash value of process executable for PID 6988?

Экспорт файла с указанным PID из образа для определения MD5 хеша:

Код:
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.pslist --pid 6988 --dump
Код:
md5sum pid.6988.0x1c0000.dmp


Ответ: 0b493d8e26f03ccd2060e0be85f430af

7. What is the word starting at offset 0x45BE876 with a length of 6 bytes?

Код:
xxd --seek  0x45BE876 20210430-Win10Home-20H2-64bit-memdump.mem | less


Ответ: hacker

8. What is the creation date and time of the parent process of "powershell.exe"? (YYYY-MM-DD HH:MM:SS)

Код:
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.pstree


Родительский процесс - explorer.exe.

Ответ: 2021-04-30 17:39:48

9. What is the full path and name of the last file opened in notepad?

Код:
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.cmdline | grep "notepad"


Ответ: C:\Users\JOHNDO~1\AppData\Local\Temp\7zO4FB31F24\a ccountNum

10. How long did the suspect use Brave browser? (hh:mm:ss)

Ключ UserAssist содержит информацию об общем времени в секундах, в течение которого приложение находилось в фокусе.

Код:
python3 vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem windows.registry.userassist | grep "Brave"


Ответ: 04:01:54
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.