当前位置：首页 > news >正文

做网站图标女教师遭网课入侵直播录屏曝

news 2025/8/3 8:24:38

做网站图标,女教师遭网课入侵直播录屏曝,淘宝网站品牌设计,东莞设计网站公司上文我们对第一台Target机器进行内存取证，今天我们继续往下学习，内存镜像请从上篇获取，这里不再进行赘述 Gideon 攻击者访问了“Gideon”，他们向AllSafeCyberSec域控制器窃取文件,他们使用的密码是什么？ 攻击者执…

上文我们对第一台Target机器进行内存取证，今天我们继续往下学习，内存镜像请从上篇获取，这里不再进行赘述

Gideon

攻击者访问了“Gideon”，他们向AllSafeCyberSec域控制器窃取文件,他们使用的密码是什么？

攻击者执行了net use z: \10.1.1.2\c$ 指令将 10.1.1.2域控制器的C盘映射到本地的Z盘，并且使用了rar压缩工具将文件存储在 crownjewlez.rar里，所以密码就在这里了

在这里插入图片描述

攻击者创建的RAR文件的名称是什么？

在这里插入图片描述

攻击者向RAR压缩包添加了多少文件？

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdline  
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdscan

在这里插入图片描述
将进程导出成dmp格式

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 memdump -p 3048 -D ./rar

在这里插入图片描述
直接搜索关键字，按照txt格式搜索就可以

strings -e l 3048.dmp | grep -10 crownjewlez | grep txt

在这里插入图片描述
这里乱七八糟的，数来数去也就是3个，这里grep txt的原因是因为我们在上面的*txt就已经知道别人只是把txt文件压缩了，所以我们只要看txt文件就行
后来发现不用导出

strings -e l  target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt

在这里插入图片描述

攻击者似乎在Gideon的机器上创建了一个计划任务。与计划任务关联的文件的名称是什么？

 ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 filescan | grep 'System32\\Tasks'

在这里插入图片描述
导出

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fc399b8 -D ./task

在这里插入图片描述

POS

恶意软件的CNC服务器是什么？

老规矩，先看第三个镜像的信息

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss imageinfo

在这里插入图片描述
网络扫描

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 netscan

在这里插入图片描述
暂时看到iexplore.exe ，该进程贯穿核心，而后我们继续往下看，尝试过滤一下恶意代码扫描结果

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418  malfind | grep iexplore.exe

在这里插入图片描述
暂时对应了，所以此题答案就是54.84.237.92

用于感染POS系统的恶意软件的家族是什么？

笔者尝试了很多方法都没有找到正确的木马家族，然后就看了一下国外大佬的，才知道原来malfind也可以导出文件

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 malfind -p 3208 -D ./tmp

在这里插入图片描述

Allsafecybersec的具体应用程序是什么？

strings process.0x83f324d8.0x50000.dmp| grep exe

在这里插入图片描述

恶意软件最初启动的文件名是什么？

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 iehistory

在这里插入图片描述
或者将3208进程导出来

 ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 memdump -p 3208 -D ./tmp

在这里插入图片描述

strings 3208.dmp| grep exe | grep all

在这里插入图片描述
到此就告一段落了，下期将会出一个简单的流量溯源，关于tomcat 的网络取证场景，敬请期待吧

查看全文

http://www.khdw.cn/news/63586.html

天津网站建设要多少钱怎样创建自己的电商平台

合肥如何做百度的网站推广成功的网络营销案例及分析

淘宝客做网站自动更新安康seo

网站地图模板.zip2022年seo最新优化策略

门户网站建设方案是什么意思网络推广协议合同范本

什么网站做宣传好计算机培训机构排名前十

团购网站发展搜索引擎seo

渗透网站后台数据截图湖南seo优化报价

微网站的链接怎么做的大地资源网在线观看免费

目前个人网站做地最好是哪几家长尾关键词爱站

网展企业网站系统免费品牌策划方案怎么做

office做网站的软件上海发布微信公众号

泰州市城市建设网站搜索引擎优化策略不包括

花生壳申请了域名怎么做网站网站的优化策略方案

Gideon

攻击者访问了“Gideon”，他们向AllSafeCyberSec域控制器窃取文件,他们使用的密码是什么？

攻击者创建的RAR文件的名称是什么？

攻击者向RAR压缩包添加了多少文件？

攻击者似乎在Gideon的机器上创建了一个计划任务。与计划任务关联的文件的名称是什么？

POS

恶意软件的CNC服务器是什么？

用于感染POS系统的恶意软件的家族是什么？

Allsafecybersec的具体应用程序是什么？

恶意软件最初启动的文件名是什么？

相关文章：