装饰工程设计东莞网站建设网站建设与管理基础及实训

pingmian/2025/10/8 13:41:20/文章来源:

装饰工程设计东莞网站建设,网站建设与管理基础及实训,建筑八大员报考时间和条件,个人旅游网站模板上文我们对第一台Target机器进行内存取证#xff0c;今天我们继续往下学习#xff0c;内存镜像请从上篇获取#xff0c;这里不再进行赘述 Gideon 攻击者访问了“Gideon”#xff0c;他们向AllSafeCyberSec域控制器窃取文件,他们使用的密码是什么#xff1f; 攻击者执…上文我们对第一台Target机器进行内存取证今天我们继续往下学习内存镜像请从上篇获取这里不再进行赘述 Gideon 攻击者访问了“Gideon”他们向AllSafeCyberSec域控制器窃取文件,他们使用的密码是什么攻击者执行了net use z: \10.1.1.2\c$ 指令将 10.1.1.2域控制器的C盘映射到本地的Z盘并且使用了rar压缩工具将文件存储在 crownjewlez.rar里所以密码就在这里了攻击者创建的RAR文件的名称是什么攻击者向RAR压缩包添加了多少文件 ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profileWin7SP1x86_23418 cmdline ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profileWin7SP1x86_23418 cmdscan将进程导出成dmp格式 ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profileWin7SP1x86_23418 memdump -p 3048 -D ./rar直接搜索关键字按照txt格式搜索就可以 strings -e l 3048.dmp | grep -10 crownjewlez | grep txt这里乱七八糟的数来数去也就是3个这里grep txt的原因是因为我们在上面的*txt就已经知道别人只是把txt文件压缩了所以我们只要看txt文件就行后来发现不用导出 strings -e l target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt攻击者似乎在Gideon的机器上创建了一个计划任务。与计划任务关联的文件的名称是什么 ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profileWin7SP1x86_23418 filescan | grep System32\\Tasks导出 ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profileWin7SP1x86_23418 dumpfiles -Q 0x000000003fc399b8 -D ./taskPOS 恶意软件的CNC服务器是什么老规矩先看第三个镜像的信息 ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss imageinfo网络扫描 ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss --profileWin7SP1x86_23418 netscan暂时看到iexplore.exe 该进程贯穿核心而后我们继续往下看尝试过滤一下恶意代码扫描结果 ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss --profileWin7SP1x86_23418 malfind | grep iexplore.exe暂时对应了所以此题答案就是54.84.237.92 用于感染POS系统的恶意软件的家族是什么笔者尝试了很多方法都没有找到正确的木马家族然后就看了一下国外大佬的才知道原来malfind也可以导出文件 ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss --profileWin7SP1x86_23418 malfind -p 3208 -D ./tmpAllsafecybersec的具体应用程序是什么 strings process.0x83f324d8.0x50000.dmp| grep exe 恶意软件最初启动的文件名是什么 ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss --profileWin7SP1x86_23418 iehistory 或者将3208进程导出来 ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss --profileWin7SP1x86_23418 memdump -p 3208 -D ./tmp strings 3208.dmp| grep exe | grep all 到此就告一段落了下期将会出一个简单的流量溯源关于tomcat 的网络取证场景敬请期待吧

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/pingmian/89970.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！