Exited3n
Red Team
- 10.05.2022
- 788
- 265
Задача из форензиики.
Дан файл memdump, это образ памяти
Описание таска:
Приступим, для работы с памятью нам поможет замечательный инструмент - volatility2/3
github.com
Конкретно в данном таске я использовал вторую версию.
Смотрим информацию об образе -
Видим что используется Win7SP1x86, подключаем данный профиль и смотрим список процессов
Меня заинтересовал процесс mspaint.exe с PID'ом - 3600
Сделаем дамп данного процесса:
На выходе получим RAW (сырой слепок процесса из памяти) данные.
Т.к. в описание сказано про картинку, нам понадобится GIMP -
Открываем как RAW image data
Нам придется поиграться с разрешением изображения, а также смещением (offset)
Находим нашего котика и флаг
До новых встреч!
Дан файл memdump, это образ памяти
Описание таска:
Оно же является небольшой подсказкой. Надо искать графические редакторы, просмотрщики картинок и тому подобное.
Приступим, для работы с памятью нам поможет замечательный инструмент - volatility2/3
GitHub - volatilityfoundation/volatility: An advanced memory forensics framework
An advanced memory forensics framework. Contribute to volatilityfoundation/volatility development by creating an account on GitHub.
github.com
Смотрим информацию об образе -
python2 vol.py -f task.mem imageinfoВидим что используется Win7SP1x86, подключаем данный профиль и смотрим список процессов
Bash:
python2 vol.py -f task.mem --profile=Win7SP1x86 pstreeСделаем дамп данного процесса:
Bash:
python2 vol.py -f task.mem --profile=Win7SP1x86 memdump -p 3600 --dump-dir=outputНа выходе получим RAW (сырой слепок процесса из памяти) данные.
Т.к. в описание сказано про картинку, нам понадобится GIMP -
Ссылка скрыта от гостей
Открываем как RAW image data
Нам придется поиграться с разрешением изображения, а также смещением (offset)
Находим нашего котика и флаг
До новых встреч!
