概述
Reminiscent是来自于HTB(hackthebox.com)的一个容易级数字鉴识挑战,完成该挑战所需要掌握的知识点在于Windows内存分析。
题目分析
相关的任务文件包括一个zip包,解压后可以得到flounder-pc-memdump.elf, imageinfo.txt和Resume.eml文件。
flounder-pc-memdump.elf是内存dump文件。
从imageinfo.txt中的信息我们可以得知运行系统是Windows。
Resume.eml中是一个电子邮件文件,其中包含了一个冒充简历的恶意文件下载地址。
解题过程
我们使用Volatility 3内存分析工具对flounder-pc-memdump.elf进行分析。
首先使用windows.netscan.NetScan命令列出运行时刻所有的网络连接。其中有两个powershell.exe进程与Resume.eml中的恶意网站连接。
python3 vol.py -f flounder-pc-memdump.elf windows.netscan.NetScan
其后使用windows.cmdline.CmdLine命令列出运行时刻的命令行。
python3 vol.py -f flounder-pc-memdump.elf windows.cmdline.CmdLine
从中可以得到powershell.exe进程的命令行参数,将其中的base64编码部分解码就可以得到挑战的flag.
