Forensics

What is the Operating System of this Dump file? (OS name)

vol3 -f victim.raw windows.info

What is the PID of SearchIndexer?

vol3 -f victim.raw windows.pslist

What is the last directory accessed by the user?

Para saber las carpetas accedidas se debe analizar el usrclas.dat. Entonces uso el plugin PrintKey para ver los hives y su respectivo offset

Pero me doy cuenta que no tiene la key 'Software'

Entonces aqui tuve un par de problemas con el plugin de windows.registry.printkey.PrintKey

volatility3/volatility3/framework/plugins/windows/registry/printkey.py at develop · volatilityfoundation/volatility3GitHub

El plugin PrintKey usa la estructura de windows llamada '_CMHIVE'

Que usa _HHIVE

Que usa _HBASE_BLOCK

Lo anterior use volshell y las imagenes anteriores son estructuras que PrintKey usa para leer una hive de registro como UsrClass.dat. Lo primero que se hace es que se localiza su offset en memoria y se crea un objeto _CMHIVE apuntando a ese offset. Dentro de _CMHIVE está la estructura _HHIVE, que contiene el bloque base _HBASE_BLOCK, donde se encuentra el índice de la celda raíz (RootCell). 

Entonces, la interpretación y navegación de la hive no se hace directamente sobre estas estructuras, sino que se utiliza la clase RegistryHive, la cual abstrae y ofrece métodos como get_node(), get_subkeys() y get_values() para recorrer el árbol jerárquico de claves y valores, permitiendo así mostrar el contenido detallado de la hive, asi como esta en el codigo de github.

Es muy complicado

Entonces intente buscarlo usando la ruta completa entrando a cada key manualmente, encontrando la carpeta de acceso

Pero usando volatility2 fue mas sencillo

There are many suspicious open ports; which one is it? (ANSWER format: protocol:port)

vol3 -f victim.raw windows.netscan

Vads tag and execute protection are strong indicators of malicious processes; can you find which they are? (ANSWER format: Pid1;Pid2;Pid3)

Un proceso cualquiera tiene su estructura _PEB en el user space, a su ves en el kernel space existe una estructura llamada _EPROCESS apuntando a su respectivo _PEB, es decir por tantos procesos que tengamos tendremos la misma cantidad de _PEB y por ende la misma cantida de _EPROCESS. A su ves en _EPROCESS existe un arbol que describe toda la memoria virtual asignada a ese proceso que se llama VAD (Virtual Address Description)

Entonces usamos el plugin vadinfo y filtrando con 'PAGE_EXECUTE_READWRITE' que es una protección de memoria que permite que una región lea escriba y ejecute una página RWX permite que el código malicioso se escriba y luego se ejecute

vol3 -f victim.raw windows.vadinfo | grep PAGE_EXECUTE_READWRITE

'www.go****.ru' (write full url without any quotation marks)

'www.i****.com' (write full url without any quotation marks)

'www.ic******.com'

202..233. (Write full IP)

*.200..164 (Write full IP)

209.190..

What is the unique environmental variable of PID 2464?

PreviousTryHackMe NextROP Emporium

Last updated 5 months ago

What is the Operating System of this Dump file? (OS name)

What is the PID of SearchIndexer?

What is the last directory accessed by the user?

There are many suspicious open ports; which one is it? (ANSWER format: protocol:port)

Vads tag and execute protection are strong indicators of malicious processes; can you find which they are? (ANSWER format: Pid1;Pid2;Pid3)

'www.go****.ru' (write full url without any quotation marks)

'www.i****.com' (write full url without any quotation marks)

'www.ic******.com'

202.***.233.*** (Write full IP)

***.200.**.164 (Write full IP)

209.190.***.***

What is the unique environmental variable of PID 2464?

202..233. (Write full IP)

*.200..164 (Write full IP)

209.190..