crypto

**<center>1 - What the password?</center>**

这个题需要换一个pypykatz版本




pypykatz>=0.6.6

git clone https://github.com/skelsec/pypykatz.git

cd pypykatz&python3 setup.py install

cd ..

wget https://raw.githubusercontent.com/daddycocoaman/volplugins/main/plugins/pypykatz.py -P new/

![image.png](https://www.linkinhan.top/static/img/75b054cec926ebb9a1af687d8549801f.image.webp)
python3 vol.py -f OtterCTF.vmem -p new pypykatz

得到答案CTF{MortyIsReallyAnOtter}

OtterCTF靶场学习

**volatility3学习**

**Volatility 是一款开源的内存取证软件，支持 Windows、Mac、linux（kali 下等等） 环境下使用。并且分别有 Volatility2 与 Volatility3 两个大版本，依次需要在 py2、py3 的环境下进行使用，也要确保系统中已安装环境，安装 pycrpto 库函数。**




**2与3的区别**

**Volatiliy 2 与 Volatiliy 3 之间的区别**

**Volatility 3从头开始设计为一个库，这意味着组件是独立的，在特定时间运行特定插件所需的所有状态都是自包含的，Volatility3和Volatility2的命令使用以及操作基本相同，但是volatility3中不需要指定profile** **，只是插件调用方式改变，特定的操作系统有特定的插件，**

**下载链接：https://github.com/volatilityfoundation/volatility3.git**

**用法：python3 vol.py -f /root/windows.raw windows.info**

**过滤windows命令：**

python3 vol.py --help|grep windows

1. windows.info：显示正在分析的内存样本的OS和内核详细信息
2. windows.callbacks：列出内核回调和通知例程
3. windows.cmdline：列出进程命令行参数
4. windows.dlldump：将进程内存范围DLL转储
5. windows.dlllist：列出Windows内存映像中已加载的dll模块
6. windows.driverirp：在Windows内存映像中列出驱动程序的IRP
7. windows.driverscan：扫描Windows内存映像中存在的驱动程序
8. windows.filescan：扫描Windows内存映像中存在的文件对象
9. windows.handles：列出进程打开的句柄
10. windows.malfind：列出可能包含注入代码的进程内存范围
11. windows.moddump：转储内核模块
12. windows.modscan：扫描Windows内存映像中存在的模块
13. windows.mutantscan：扫描Windows内存映像中存在的互斥锁
14. windows.pslist：列出Windows内存映像中存在的进程
15. windows.psscan：扫描Windows内存映像中存在的进程
16. windows.pstree：列出进程树
17. windows.procdump：转储处理可执行映像
18. windows.registry.certificates：列出注册表中存储的证书
19. windows.registry.hivelist：列出内存映像中存在的注册表配置单元
20. windows.registry.hivescan：扫描Windows内存映像中存在的注册表配置单元
21. windows.registry.printkey：在配置单元或特定键值下列出注册表项
22. windows.registry.userassist：打印用户助手注册表项和信息
23. windows.ssdt：列出系统调用表
24. windows.strings：读取字符串命令的输出，并指示每个字符串属于哪个进程
25. windows.svcscan：扫描Windows服务
26. windows.symlinkscan：扫描Windows内存映像中存在的链接

[**一开始可能存在插件不能用的情况 -vv显示详细情况**](undefined)[ **（可以看的出来是python缺少Crypto这个库）**](undefined) 


![image.png](https://www.linkinhan.top/static/img/d3ab791bce3298a4eed2b379d911b173.image.webp)

由于我的kali版本是2021.3 默认不自带pip3，安装pip3

wget https://bootstrap.pypa.io/get-pip.py | python3

python3 get-pip.py  -i http://pypi.douban.com/simple --trusted-host pypi.douban.com

安装Crypto库

pip3 install Crypto

pip3 install pycrypto

安装完成后，可以正常使用volatility3

volatility3 安装符号表

符号表地址：

- https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip
- https://downloads.volatilityfoundation.org/volatility3/symbols/mac.zip
- https://downloads.volatilityfoundation.org/volatility3/symbols/linux.zip

将符号表复制到/你放vol的地方/volatility3/symbols 目录下解压到windows目录中

![image.png](https://www.linkinhan.top/static/img/1adb30ba7e25b81817145214e622eba3.image.webp)

volatiltiy3 安装插件

下载[/vol_pypykatz.py](https://raw.githubusercontent.com/skelsec/pypykatz-volatility3/master/vol_pypykatz.py)将他放到pypykatz目录下方便我们找

wget https://raw.githubusercontent.com/skelsec/pypykatz-volatility3/master/vol_pypykatz.py

然后

python3 vol.py -f /root/windows.raw -p pypykatz pypykatz

问题1

RuntimeError: Framework interface version 2 is incompatible with required version 1

可以把刚才下载下来的[vol_pypykatz.py](https://raw.githubusercontent.com/skelsec/pypykatz-volatility3/master/vol_pypykatz.py)中的1修改为2，如下图：

![image.png](https://www.linkinhan.top/static/img/61b0ce55c39d33699abfaa5df8b95b04.image.webp)

运行如下图则为正常

![image.png](https://www.linkinhan.top/static/img/f4efae8e6ec983ac4dfc1ccf2c148199.image.webp)

问题2

from volatility.framework import interfaces, constants, exceptions, symbols
ModuleNotFoundError: No module named 'volatility'

![image.png](https://www.linkinhan.top/static/img/28a6494c39d0aa95ebcd5aa22a8264b7.image.webp)

注意红框中的路径，打开它

vim /usr/lib/python3/dist-packages/pypykatz/commons/readers/volatility3/**init**.py

并将其中的volatility修改成volatility3

我这里使用vim的尾行模式进行替换 即可使用

:1,11s/volatility/volatility3


![image.png](https://www.linkinhan.top/static/img/84c0acf4ce08dcd3f6988526c208672e.image.webp)
问题3

File "/home/kali/volatility3/volatility3/framework/renderers/**init**.py", line 199, in **init**

generator = iter(generator)

TypeError: 'TreeGrid' object is not iterable

将42行到56行的内容注释掉并在下方加一句

 return pparser.go_volatility3(self)
![image.png](https://www.linkinhan.top/static/img/b85f3739326130d306ed1124ee90ba82.image.webp)
运行成功本人自己制作的镜像
![image.png](https://www.linkinhan.top/static/img/cf35d3f162fc3e081851dc8fb179cdc8.image.webp)
下图为解密hash的结果
![image.png](https://www.linkinhan.top/static/img/f529acbc867898b6420d7580e296a7fb.image.webp)

volatility3学习

内存取证是指在计算机系统中收集和分析存储在RAM$(随机存取存储器)中的数据和信息的过程。它可以帮助调查人员了解计算机系统的运行状态、诊断故障、确定犯罪行为等。在进行内存取证时，调查人员需要使用专业的取证工具和技术来捕获计算机系统中的内存映像，并将其转换为可读取的形式。



这些工具和技术包括：

内存镜像软件：可以捕获整个系统或选定的进程的内存映像，并将其保存为文件。

反汇编器：可以将内存映像转换为机器代码或其他可读格式，以便进行分析。

数据分析工具：可以对内存映像进行深入分析，以查找隐藏的数据和信息。

  内存取证是一项复杂的技术活动，需要专业的技能和经验。它通常由执法机构、安全公司和其他专业机构来进行。而网络安全中的内存取证是指在计算机系统中收集和分析存储在RAM(随机存取存储器)中的数据和信息的过程，以帮助调查人员了解计算机系统的运行状态、诊断故障、确定犯罪行为等。


在进行网络安全中的内存取证时，通常需要执行以下步骤：
1. 获取目标计算机的内存映像：使用专业的取证工具和技术来捕获计算机系统中的内存映像，并将其保存为文件。这可以通过模拟攻击或使用漏洞利用技术来实现。
2. 分析内存映像：将内存映像转换为机器代码或其他可读格式，以便进行分析。这可以通过反汇编器、调试器和其他分析工具来实现。
3. 查找隐藏的数据和信息：对内存映像进行深入分析，以查找隐藏的数据和信息。这可以通过数据分析工具、密码破解工具和其他取证工具来实现。
4. 网络安全中的内存取证可以帮助调查人员了解网络攻击者的行为、检测恶意软件、确定网络威胁来源等。它可以为执法机构提供有力的证据，帮助打击网络犯罪活动。