[SuNiNaTaS] Game 30 풀이

문제 종류 - Forensic

사용한 툴 - vol.py (in Kali Linux)

Flag, Hint, 정답 형식

flag: 1. 김장군 PC의 IP 주소는?
       2. 해커가 열람한 기밀문서의 파일명은?
       3. 기밀문서의 주요 내용은? 내용속에 "Key"가 있다.

hint: X

정답 형식: lowercase(MD5(1번답+2번답+3번키))

 

풀이

메모리 덤프 파일이 하나 주어진다.

리눅스에서 vol.py를 이용해 분석해보자.

해당 명령어를 통해 Suggested Profile의 정보를 얻었다.

Win7SP0x86 Profile을 이용해 김장군 PC IP 주소를 알아보겠다.

김장군 PC의 IP를 찾아냈다.

다음은 해커가 열람한 기밀문서가 뭔지 알아보겠다.

python vol.py -f <MemoryDump> --profile=<Name> filescan | grep <확장자>

를 입력하면 메모리 덤프안에 있는 파일을 스캔할 수 있는 명령어이다.

기밀문서가 될 수 있는 대부분 확장자를 검색하던 중 .txt에서 수상한 파일이 하나 발견되었다.

기밀문서의 파일 이름도 찾아냈다.

이제 저 파일을 덤프를 떠 열어보도록 하겠다.

python vol.py -f <MemoryDump> --profile=<Name> dumpfiles -Q <Offset> -D <Path>

을 입력하면 해당 Offset에 있는 덤프를 뜰 수 있는 파일을 추출할 수 있다.

이제 이 파일을 읽어보도록 하자.

모든 정답을 다 찾았다.