当前位置: 首页 > news >正文

四川城乡建设部网站首页什么管理系统好做

news 2025/9/17 17:14:41
四川城乡建设部网站首页,什么管理系统好做,建工报名网,荣耀手机商城官方网站下载上文我们对第一台Target机器进行内存取证,今天我们继续往下学习,内存镜像请从上篇获取,这里不再进行赘述​ Gideon 攻击者访问了“Gideon”,他们向AllSafeCyberSec域控制器窃取文件,他们使用的密码是什么? 攻击者执…

上文我们对第一台Target机器进行内存取证,今天我们继续往下学习,内存镜像请从上篇获取,这里不再进行赘述​

Gideon

攻击者访问了“Gideon”,他们向AllSafeCyberSec域控制器窃取文件,他们使用的密码是什么?

攻击者执行了net use z: \10.1.1.2\c$ 指令将 10.1.1.2域控制器的C盘映射到本地的Z盘,并且使用了rar压缩工具将文件存储在 crownjewlez.rar里,所以密码就在这里了

在这里插入图片描述

攻击者创建的RAR文件的名称是什么?

在这里插入图片描述

攻击者向RAR压缩包添加了多少文件?

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdline  
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdscan

在这里插入图片描述
将进程导出成dmp格式

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 memdump -p 3048 -D ./rar

在这里插入图片描述
直接搜索关键字,按照txt格式搜索就可以

strings -e l 3048.dmp | grep -10 crownjewlez | grep txt

在这里插入图片描述
这里乱七八糟的,数来数去也就是3个,这里grep txt的原因是因为我们在上面的*txt就已经知道别人只是把txt文件压缩了,所以我们只要看txt文件就行
后来发现不用导出

strings -e l  target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt

在这里插入图片描述

攻击者似乎在Gideon的机器上创建了一个计划任务。与计划任务关联的文件的名称是什么?

 ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 filescan | grep 'System32\\Tasks'

在这里插入图片描述
导出

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fc399b8 -D ./task

在这里插入图片描述
在这里插入图片描述

POS

恶意软件的CNC服务器是什么?

老规矩,先看第三个镜像的信息

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss imageinfo

在这里插入图片描述
网络扫描

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 netscan

在这里插入图片描述
暂时看到iexplore.exe ,该进程贯穿核心,而后我们继续往下看,尝试过滤一下恶意代码扫描结果

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418  malfind | grep iexplore.exe

在这里插入图片描述
暂时对应了,所以此题答案就是54.84.237.92
在这里插入图片描述

用于感染POS系统的恶意软件的家族是什么?

笔者尝试了很多方法都没有找到正确的木马家族,然后就看了一下国外大佬的,才知道原来malfind也可以导出文件

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 malfind -p 3208 -D ./tmp

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Allsafecybersec的具体应用程序是什么?

strings process.0x83f324d8.0x50000.dmp| grep exe

在这里插入图片描述

恶意软件最初启动的文件名是什么?

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 iehistory

在这里插入图片描述
或者将3208进程导出来

 ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 memdump -p 3208 -D ./tmp

在这里插入图片描述

strings 3208.dmp| grep exe | grep all

在这里插入图片描述
到此就告一段落了,下期将会出一个简单的流量溯源,关于tomcat 的网络取证场景,敬请期待吧

http://www.yayakq.cn/news/665127/

相关文章:

  • 德州聊城网站建设建设发展集团有限公司
  • 网站备案系统源码电子商城网站开发支持手机端
  • 网站制作论文总结手机淘宝
  • 深圳住房城乡建设局网站短视频运营
  • 企业网站建设经验wordpress更改主题首页
  • 企业网站定制案例建一个手机app平台费用
  • 前端网站开发课程展板设计用什么软件
  • 电子商务主要是干嘛的优化软件下载
  • 做农产品的网站大丰做网站哪家最好
  • 无锡装饰网站建设排名昆明网站建设技术研发中心
  • 福永论坛网站建设网易企业邮箱和个人邮箱的区别
  • 网站保定网站建设多少钱网站建设选择北京华网天下
  • 专业建站公司前景成都策划公司排名
  • 福州市建网站公司wordpress子站共享用户名
  • 聊城做手机网站推广重庆网站建设公司那好
  • 网站平台怎么建设长春网站制作诚推源晟
  • 做网站用什么字体dedecms公司网站怎么做
  • 做美团旅游网站多少钱北京大企业公司排名
  • admin登录网站wordpress缓存清理插件
  • 黄骅网站建设价格手机网页打不开但是有网什么原因
  • 在哪一个网站做社保申报手机免费制作微信小程序
  • 宁波建网站找哪家高大上强企业网站
  • 想做一个网站平台怎么做的jsp电商网站开发教程
  • 网站怎么免费做推广方案教育视频网站开发
  • 网站开发技术人员保密协议网站页码
  • 电脑网站与手机的区别是什么seo关键词排名优化如何
  • 网站html有了怎么建设网站北京到安阳的大巴
  • 孝昌网站建设嘉兴建站软件
  • 网站漏洞扫描工具激励案例网站制作
  • 盐城市建设银行网站投资公司起名