써니나타스 포렌식 30번 ! memory analysis 문제이다.

분석은 volatility를 사용했다.

volatility 기본 커맨드 사용형태는 아래와 같다.

-f 'memoryfile' --profile=os 

제일 먼저 덤프파일의 이미지 정보를 분석한다.

여기서는 os의 정보를 확인 할 수 있다.

이제 ip주소를 확인해야한다. netscan명령어로 네트워크 기록을 확인한다.

local address 의 ip 192.18.197.138이 PC의 ip임을 확인할 수 있다.

(왼쪽 Local Address / 오른쪽 Foreign Address)

filescan명령어를 이용해 파일을 스캔하여 filescan.elf 파일로 저장했다.

기밀문서가 될 수 있는 파일의 확장자를 하나씩 검색해보았다. (hwp, doc ...)

doc 확장자로 검색했는데 기밀문서로 보이는 SecreetDocumen7.txt 가 얻어걸렸다.

elf파일에 offset이 나와있긴하지만 정확함을 위해 한번 더 검색해준다.

하나밖에 없음을 확인하고 SecreetDocumen7의 오프셋을 참조하여 dumpfiles 명령어를 이용해 파일을 덤프한다.

덤프한 파일을 열면 key값이 나온다!