Volatility3 を勉強した記録
題材 stuxnet999/MemLabs
問題配付サイト
プロセス列挙
# python3 vol.py -f MemoryDump_Lab1.raw windows.pstree
(略)
2504 3000 explorer.exe 0xfa800104a780 34 825 2 False 2019-12-11 14:37:14.000000 N/A
* 2304 2504 VBoxTray.exe 0xfa800104a780 14 144 2 False 2019-12-11 14:37:14.000000 N/A
* 1512 2504 WinRAR.exe 0xfa800104a780 6 207 2 False 2019-12-11 14:37:23.000000 N/A
WinRAR.exeが不審
WinRAR.exeのコマンドラインから使っているファイルを調べる
# python3 vol.py -f MemoryDump_Lab1.raw windows.cmdline
(略)
1512 WinRAR.exe "C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\Alissa Simpson\Documents\Important.rar"
ファイル「Important.rar」をダンプ
# python3 vol.py -f MemoryDump_Lab1.raw windows.filescan | grep Important.rar
0x3fa3ebc0 100.0\Users\Alissa Simpson\Documents\Important.rar 216
0x3fac3bc0 \Users\Alissa Simpson\Documents\Important.rar 216
0x3fb48bc0 \Users\Alissa Simpson\Documents\Important.rar 216
# python3 vol.py -f MemoryDump_Lab1.raw windows.dumpfiles --physaddr 0x3fa3ebc0
パスワードがかかってる
プロセス「WinRAR.exe」をダンプ
#python3 vol.py -f MemoryDump_Lab1.raw windows.pslist --pid 1512 --dump
# strings -a pid.1512.0x13f710000.dmp > ascii.txt
# strings -a -el pid.1512.0x13f710000.dmp > unicode.txt
手がかり無し。ここで終了
だと,WinRAR.exeのダンプからPassword is NTLM hash of Alissa's acount passwdと表示されるらしいが,Volatility3では何も出ない。