써니나타스 포렌식 30번 ! memory analysis 문제이다.
분석은 volatility를 사용했다.
volatility 기본 커맨드 사용형태는 아래와 같다.
-f 'memoryfile' --profile=os
제일 먼저 덤프파일의 이미지 정보를 분석한다.
여기서는 os의 정보를 확인 할 수 있다.
이제 ip주소를 확인해야한다. netscan명령어로 네트워크 기록을 확인한다.
local address 의 ip 192.18.197.138이 PC의 ip임을 확인할 수 있다.
(왼쪽 Local Address / 오른쪽 Foreign Address)
filescan명령어를 이용해 파일을 스캔하여 filescan.elf 파일로 저장했다.
기밀문서가 될 수 있는 파일의 확장자를 하나씩 검색해보았다. (hwp, doc ...)
doc 확장자로 검색했는데 기밀문서로 보이는 SecreetDocumen7.txt 가 얻어걸렸다.
elf파일에 offset이 나와있긴하지만 정확함을 위해 한번 더 검색해준다.
하나밖에 없음을 확인하고 SecreetDocumen7의 오프셋을 참조하여 dumpfiles 명령어를 이용해 파일을 덤프한다.
덤프한 파일을 열면 key값이 나온다!
'Security > CTF' 카테고리의 다른 글
SUNINATAS-FORENSIC(30) (0) | 2019.07.24 |
---|---|
SUNINATAS-FORENSIC (0) | 2019.07.06 |
Hackigcamp CTF_2019 (0) | 2019.06.28 |