문제를 보면 3가지의 문제가 있고, 파일을 다운로드하면 메모리 덤프 파일을 얻을 수 있다.
메모리 분석 툴인 볼라틸리티(volatility)를 활용해서 풀어보겠다.
우선 imageinfo를 활용하여 이미지의 정보를 확인해 보았다.
이 정보를 확인 해야 이것을 활용하여 다른 명령어가 사용 가능하다.
정보를 확인하면 Windows7 OS를 사용하고 있고, --profile 옵션으로 프로필 정보를 써야 다른 정보를 얻을 수 있다.
첫 번째 문제인 김장군 PC의 IP 주소는 netscan 명령을 이용하여 확인할 수 있다.
위 정보를 보면 IP 주소는 192.168.197.138 이다.
두 번째 문제인 기밀문서 파일명은 프로세스 정보를 확인하여 실행한 프로세스들의 정보를 확인해 보아야겠다.
프로세스들의 부모자식 관계를 보여주는 pstree 명령으로 확인을 해 보았다.
정보를 확인해 보면 cmd 프로세스를 통해 notepad(메모장)가 실행되었다.
cmdscan명령을 통해 cmd로 실행한 notepad의 정보를 더 얻을 수 있다.
파일명과 그 파일의 경로를 알 수 있다. 파일 명은 SecreetDocument7.txt 이다.
세 번재 문제인 문서의 내용을 보려면 파일 추출 도구인 r-studio를 이용하여 저 문서의 내용을 확인 할 수 있다.
데모 버전을 사용하여도 기본적인 파일 추출은 가능하다.
메모리 덤프 파일을 스캔한 후에 cmdscan으로 얻은 경로에 들어가보면 문서를 확인할 수 있다.
key값은 4rmy_4irforce_N4vy 이다.
답들을 조합하여 md5로 해시하면 문제가 해결 된다.
'Security & Hacking > Wargame' 카테고리의 다른 글
| [webhacking.kr] Challenge 6 (0) | 2019.02.18 |
|---|---|
| [SuNiNaTaS] Forensic 31 (0) | 2019.02.11 |
| [SuNiNaTaS] Forensic 29 (0) | 2019.02.09 |
| [SuNiNaTaS] Forensic 28 (0) | 2019.01.31 |
| [SuNiNaTaS] Forensic 26 (0) | 2019.01.27 |