2024年美亚杯资格赛内存取证–使用Lovelymem一把梭

最新推荐文章于 2025-08-07 16:55:16 发布
最新推荐文章于 2025-08-07 16:55:16 发布
阅读量971 收藏 8
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 取证 文章标签: 服务器 运维 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81210668/article/details/145293624

2024年美亚杯资格赛内存取证–使用Lovelymem一把梭

这次内存镜像特别大,有18多个GB,当时自己用vol2.6跑了半个小时都没有跑出来,电脑一直嗡嗡嗡,风扇应该拉满了。 赛后才知道用vol3马上就能跑出来,因为内存镜像是win10系统,vol2.6跑不动这么新的系统。考试的时候时间紧张,人更紧张,根本没有去考虑什么vol2.6跑不动应该怎么办。 所以一款一把梭工具就特别重要,推荐一款集成了vol2和vol3的内存取证神器,操作页面可视化,操作简单易上手,不用去记各种指令,适合新手小白使用。

59.[单选题] 参考RAM_Capture_David_Laptop.RAW,以下哪一个不是程序"firefox.exe"的PID? (2分)

A. 9240

B. 8732

C. 5260

D. 3108

在Lovelymem里面选择基本功能里面的进程信息image-20250122044221852

打开界面之后调整每页行数让数据都在一页显示出来,然后输入firefox进行搜索image-20250122044501861

60.[填空题] 参考RAM_Capture_David_Laptop.RAW,汇出PID:724的程序,其哈希值 (SHA-256) 是? (2分)

fee23ebcba02987e70d81ca1924c2e9c69d79ac2afea5bbde4fb335a57d4b30c

在刚刚打开的界面里面搜索724,直接就能找到对应的程序image-20250122044713993然后我们需要把程序导出来,这里再介绍一个功能也是lovelymem里面集成的功能MemProcFS,它可以将镜像直接挂载起来,直接可以去找文件image-20250122045357840image-20250122045454028

61.[单选题] 参考RAM_Capture_David_Laptop.RAW,哪一个是执行PID:724程序的SID? (1分)

A. S-1-1-0

B. S-1-2-0

C. S-1-5-21-1103701427-1706751984-2965915307-1001

D. S-1-5-21-1103701427-1706751984-2965915307-513

接上一题,直接使用其中的插件,查看进程的SID组image-20250122045742118

打开查看发现有五个,但是只有一个对应选项image-20250122045915756

62.[填空题] 参考RAM_Capture_David_Laptop.RAW,账户David Tenth的NT LAN Manager的哈希值(NTLM Hash) ? (答案格式:只需使用全部小写及阿拉伯数字回答) (1分)

e14a21fefc5dd81275bb87228586cffc

使用密码哈希转储功能直接就出了image-20250122051035006image-20250122051109505

2021美亚个人资格赛(记录第一次的取证之旅)
m0_56194555的博客
11-28 9777
2021美亚个人资格赛wp
18美亚团体赛内存部分
amaze_xiang的博客
11-04 1389
18美亚内存取证 最近准备美亚,我负责Windows部分,就把18内存题翻出来做下,因为第一次做内存,可能有些不到位的地方,然后,有几题实在不会 这里为了方便把内存镜像的文件名改成了1.dmp 首先搜出镜像系统是Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418,后续用Win7SP1x64_23418做的题 85从内存镜像档案的数据显示,该镜像档案的建立日
CTF常用工具_实时更新
baimao__Ch的博客
04-29 1027
近期在做一些ctf题,其中会涉及到许多工具,起初我会使用百度网盘在每一篇博客放置对应的工具,但因网盘上传有上限,所以现在我将练习中所用到所有的工具放置在这篇文章中。需要下载的小伙伴可随时拿取,分享有效期为永久分享。常用工具及常用网站为实时分享!!!从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
2024数证决赛团体wp
2301_81210668的博客
03-18 1538
数证决赛团体赛包含计算机取证,手机取证服务器取证,恶意程序分析,数据分析
Lovelymem一把2024美亚内存取证Lovelymem软件使用详细步骤+软件+检材链接)
m0_37867238的博客
12-25 3062
Lovelymem一把2024美亚内存取证Lovelymem软件使用详细步骤+软件+检材链接)
内存取证不用愁!LovelyMem 可视化工具,小白也能轻松上手
最新发布
Kali与编程
08-07 868
LovelyMem是一款由Tokeii0开发的内存取证工具,集成了MemProcFS、Volatility2/3等主流工具,提供快速取证、任务编排、AI辅助分析等功能。工具支持图形化配置路径和插件开发,内含解压文件等示例插件。初始版本为收费软件,用户可通过配置文件或GUI设置工具路径。获取方式为夸克网盘下载。该工具通过集成多款专业工具和AI支持,提升了内存取证的效率和便捷性。
2019美亚电子数据取证大赛-内存取证
weixin_44770698的博客
10-13 3303
2019美亚电子数据取证大赛-内存取证
volatility内存取证学习美亚比赛版,密码+注册表
ntrybw的博客
09-10 2058
密码主要是看后半段,蓝色部分,cmd5可以破解,输进去试一下,如果是闭网环境,那就需要相应软件,比如说hashcat一般31开头就是空密码,其他就去接一下就好。3:ntuser.dat (对应用户的注册表值,某种程度上,也可以佐证用户,就是有哪几个用户。解释hivelist,查看注册表信息,virtual是虚拟地址,physical是物理地址。要知道内存镜像的架构,知道内存是在什么操作系统下面获取的,最关键一步。要把内存里面的注册表信息导出,可以用可视化,dum那个,新建一个文件夹。开头一般是系统管理员,
美亚全国2018第四届电子数据取证竞赛-个人赛
05-02
美亚全国2018第四届电子数据取证竞赛-个人赛 电子取证竞赛是测试电子取证专业人员的技能和技术的竞赛,本竞赛旨在提高电子取证技术的应用和普及。 本竞赛包括了多个题目,涵盖了电子取证的多个方面,包括MD5...
2020第六届美亚中国电子数据取证大赛个人资格赛
ShenZ的博客
01-22 2664
2020第六届美亚中国电子数据取证大赛个人资格赛 这一套还不错,个人赛的检材也各个有联系,检材照片和笔录让人身临其境。 第一次用富文本编辑器,感觉好酷 目录 笔记本计算机 手机 USB 笔记本计算机 1.Alice的笔记本计算机已成功被取证并制作成镜像(ForensicImage),下列哪个是镜像的SHA-1哈希值?
2019第五届 美亚电子取证 团体赛 wp
ShenZ的博客
01-13 1886
2019第五届 美亚电子取证 团体赛 wp 案情 路由器 Win1.E01 Win3.E01 L:\Group_Competition\Hacker_Linux\Linux1 MacBookAir.00001 手机镜像 blk0_mmcblk0.bin backup.ab Group_Competition\Hacker_RAID Group_Competition\Hacker_PCAP
2020美亚全国电子数据取证大赛有感
m0_46625346的博客
11-15 3322
总结感悟 2020第六届美亚终于结束了,心里感觉舒畅了不少,虽然结果有些差,但我感觉,这个备赛过程中,我和队友收获了很多,之间配合的也越来越默契,希望下届美亚我们可以去的更好的名次。加油,冲啊! 下面配上我们的成绩图,大佬就不要吐槽了,我们也就参加过两次取证比赛。。。 一次西安电子科技大举办的长安,第二次就是美亚了。 我们尽力了。明继续! 比赛完,正好和朋友出去过生日 出去浪啦哈哈 需要2020美亚资格赛WP的可以找我资源区,免费下载哈!!! 记得点关注点赞呀!!!! ...
2023第九届美亚全国电子数据取证竞赛个人赛实操部分参考wp
cuiwenhao_的博客
11-20 3583
2023第九届美亚全国电子数据取证竞赛个人赛实操部分参考wp
内存取证大纲(文件后缀mem)【volatility】【WRR】
m0_65713959的博客
11-10 2327
内存取证笔记摘要【Volatility】【WRR】
21美亚团队赛,镜像+解析,只做了pc+恶意+内存,希望与大家一起学习进步。
ntrybw的博客
10-04 3570
各种新奇的无人机,电视,矿机,手表之类的都可能去叫我取证,我要总结方法。说实话,我做的时候是蒙的,检材量太大了,信息量很多,需要三个人密切合作才能做完,而且确实题目过大导致计算机一下子也受不了,我已经用游戏本了,但是感觉还是不太行,今不会换了,明考虑台式机,哈哈哈,笔记本已经满足不理我了。由于本人分工在PC 恶意程序 内存 这几块,所以考试的时候没做,但是又临近考试,我实在是没时间做服务器和手机,在这里就先不写了,但是我一定会补上的,我对取证的热爱是一定的,一旦空下来或者比赛打完我一定会补上。
2024春秋冬季赛 ez forensics题解 使用LovelyMem
m0_70369590的博客
01-17 1098
接下来直接套了原题,使用flag_is_here作为MobaXterm的主密钥去对root用户密码进行解密。使用LovelyMem Vol2-拓展功能-Mimikatz得到密码strawberries。解密得到hint内容,告诉我们hashdump得到的用户密码就是7z压缩包的密码。使用LovelyMem快速检查,发现桌面上有hint和f14g.7z,导出文件。hint提示60=?,想到ROT47+ROT13。解压压缩包,发现是MobaXterm的配置文件。最后base64得到flag。
2024美亚个人赛
qq_44640313的博客
11-22 2653
2024美亚个人赛复现
2024春秋misc方向--ez forensics题解(使用lovelymemv版)
sveewg的博客
01-24 8811
最近在做春秋时,有一道取证题手搓有点难,便想到了lovelymemv这个工具,接下来一起开开怎么做的吧。
ctfshow单身2024 Writeup By V3geD4g
xczzhf的博客
11-13 1913
直接用数字和字符串绕就可以了。
lovelymem ver0.91
01-25
关于"LovelyMem Version 0.91"的信息,在网络上的资源可能较为有限或者特定,这取决于该软件的知名度以及是否由知名开发商发行。LovelyMem似乎不是广泛知名的软件名称,因此直接找到版本0.91的具体信息、下载链接或是官方发布的更新日志可能会比较困难。 对于查找这类较具体的小众软件信息的方法如下: 查询官方网站或开发者页面 如果 LovelyMem 是一款公开发布的应用程序,则其官方网站会是最可靠的获取最新版本及变更记录的地方。访问官网可以确保获得最准确的第一手资料。 利用专业技术论坛与社区讨论区 像 Reddit, Stack Overflow 这样的平台经常会有用户分享有关各种应用的经验和见解。尝试在这些地方搜索是否有提及 LovelyMem 及其版本历史。 检查第三方软件分发站点 一些网站专门用于托管不同类型的免费和付费软件供人下载试用。例如 SourceForge, GitHub 等开源项目托管平台上也许能找到目标程序及其版本迭代详情。 查阅科技博客和技术新闻报道 有时候新版本的应用会被某些专注于介绍新兴事物的技术类媒体所覆盖。浏览此类文章或许能间接了解到所需资讯。 鉴于以上建议,针对 LovelyMem 版本 0.91 更精确的数据需要进一步探索上述渠道来收集。同时请注意确认来源的安全性和合法性以保障个人电脑系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值