MemLabs Lab 4 - Obsession

## MemLabs Lab 4 - Obsession [ From ] : https://github.com/stuxnet999/MemLabs ### Description : 我的系統最近遭到破壞。駭客竊取了很多訊息，但他也刪除了我的一個非常重要的檔案。我不知道如何恢復它。目前我們擁有的唯一證據就是記憶體轉儲。請幫我。 - 線索 1 : memerydump - 線索 2 : 找刪除的資料 ### 解題 : 以下指令為顯示所有可用插件的工具或命令，從中發現可以用來處理資料的 layer 支援 windows，也表示該環境為 windows :::info python vol.py -f MemoryDump_Lab4.raw frameworkinfo.FrameworkInfo ::: ![image](https://hackmd.io/_uploads/SJc3GDLSke.png) #### vol2 這個指令用來識別記憶體轉儲的作業系統版本 :::info python2 vol.py -f MemoryDump_Lab4.raw imageinfo ::: ![image](https://hackmd.io/_uploads/r1mm0dS2Jg.png) - Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_24000, Win7SP1x64_23418 該內容表示工具推測此映像檔可能來自 Windows 7 Service Pack 1 (64 bit) Service Pack（服務包，簡稱 SP）是微軟發布的系統更新包接著由於題目說他有重要資料被刪除了，因此將目標指向回收桶，並發現一個 desktop.ini :::success C:\\$Recycle.Bin ::: ![image](https://hackmd.io/_uploads/B1z5li8SJl.png) 用以下指令來 dump 指定的 file，但是看起來不怎麼重要 :::info python vol.py -f MemoryDump_Lab4.raw windows.dumpfiles.DumpFiles --physaddr 0x3eb96870 ::: ![image](https://hackmd.io/_uploads/SypnXiUH1e.png) ![image](https://hackmd.io/_uploads/S1Vo7jUryg.png) #### vol2 :::info python2 vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 filescan | grep $Recycle.Bin ::: ![image](https://hackmd.io/_uploads/Sk_VZtr2kl.png) 我們看到兩個 .ini 的檔案 desktop.ini 是隱藏的系統設定檔，用來客製化資料夾的顯示方式 :::info python2 vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003eb96870 -D output/ ::: ![image](https://hackmd.io/_uploads/S1EG7tH3Jl.png) LocalizedResourceName 指定這個資料夾的顯示名稱，shell32.dll 是 Windows 的系統 DLL 檔案，裡面包含許多 UI 文字與圖示資源，後面的 -8964 是 shell32.dll 內的資源識別碼 (Resource ID)，就能對應到資源回收桶這個名稱 :::success [ Path ] : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon ::: CLSID（Class Identifier）裡面存 GUID（全域唯一識別碼），用來標記 Windows 系統中特殊類型的資料夾，其中 {645FF040-5081-101B-9F08-00AA002F954E} 是資源回收桶的 GUID，裡面內容如下圖。 ![image](https://hackmd.io/_uploads/ByRhrtHn1g.png) imageres.dll ![image](https://hackmd.io/_uploads/Skvb1or2Je.png) ![image](https://hackmd.io/_uploads/B1nQ1jrhyx.png) ![image](https://hackmd.io/_uploads/BJuV1iHnkl.png) 用於定義資源統 icon 而已 [ 結論 ] : 內容只是用來讓 $Recycle.Bin 資料夾在檔案總管顯示為「資源回收桶」，並使用對應的圖示與名稱。 --- 接著嘗試資料名稱，題目說是重要的檔案，試試看 important，原本找小寫沒有資料，改成大寫出現一個 Important.txt ![image](https://hackmd.io/_uploads/B1RRNoUBJx.png) dump 下來看看，但是發現 dump 不了，看來我們要找的重要資料就是他了，因為內容已被刪除 ![image](https://hackmd.io/_uploads/Hy5ArsIrke.png) vol2 :::info python2 vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 filescan | grep Import ::: ![image](https://hackmd.io/_uploads/BkgHDKrn1g.png) 找到一個 Important.txt 檔案，dump 下來看看發現沒有東西，這就代表我們在找的文件被刪除了。 #### 為甚麼檔名在，但內容找不到了在 Windows 作業系統中，當檔案被刪除時： NTFS 檔案系統只會將該檔案的目錄索引標記為「可用」，檔案內容仍然留在磁碟上，直到新的數據覆蓋它。 volatility filescan 命令會檢查記憶體中的文件，像是開啟過的檔案（即使後來被刪除）、NTFS Master File Table (MFT) 內的記錄。可能情況 1 : 檔案的實際內容存儲在磁碟的其他區塊可能情況 2 : 刪除的檔案區塊被標記為「可用」，新的寫入操作可能會覆蓋它們 #### 主檔案表 (MFT, Master File Table) 是檔案系統的核心，負責管理所有檔案的資訊，包含： - 檔案名稱 - 檔案大小 - 建立與修改時間 - 存取權限 - 檔案內容存放位置 (磁碟區塊/叢集) 因此即使檔案被刪除，MFT 記錄仍可能保留一段時間，所以下一步去 mft 找資料使用以下指令 :::info python2 vol.py -f MemoryDump_Lab4.raw --profile=Win7SP1x64 mftparser > mft ::: ![image](https://hackmd.io/_uploads/rJhjjKH31e.png) ![image](https://hackmd.io/_uploads/rJqHhtr3kg.png) 但我不知道 volatility3 怎麼恢復檔案，所以(作弊?)用了 autopsy 就成功找到他了答案為 :::success inctf{1_is_n0t_EQu4l_7o_2_bUt_th1s_d0s3nt_m4ke_s3ns3} ::: ![image](https://hackmd.io/_uploads/S1xtU38rkx.png)  :::