題目鏈接:https://pan.baidu.com/s/18TASKSNA9HVqCfUV5wJ7NA 提取碼:n3wf
任務一 獲取admin用戶密碼是多少 ?
Volatility -f 文件名 --profile=Win7SP1x64 lsadump
任務(二) 獲ip和主機名是什么?
Volatility -f 文件名 --profile=Win7SP1x64 netscan
Volatility -f 文件名 --profile=Win7SP1x64 hivelist
volatility -f worldskills3.vmem --profile=Win2008R2SP0x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
//0xfffff8a000024010 SYSTEM的虛擬地址
任務(三)獲取桌面上的 flag.txt中的文件內容是什么
volatility -f worldskills3.vmem --profile=Win7SP1x64 filescan | grep flag
volatility -f worldskills3.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f1b6c10 --dump-dir=./
任務(四) 服務器中存在一個挖礦病毒 礦池地址是
volatility -f worldskills3.vmem --profile=Win2008R2SP0x64 netscan
任務(五)惡意代碼在系統中注冊了服務 服務名是什么?
volatility -f test.vmem --profile=Win7SP1x64 svcscan
(注:使用svcscan插件命令可打印出當前目標機器注冊服務信息)
任務(六) 獲取惡意代碼的進程名pid。
Loader.exe父進程創建svchost.exe子進程
flag{svchost.exe+2588; loader.exe+3036}
任務(七) 病毒在自我刪除時 執行的命令是什么?(病毒進入系統后會刪除原始文件,請獲取文件刪除時執行的命令)
標准命令行:cmd.exe /C @ping -n 15 127.0.0.1&del path/file> nul