본문 바로가기

Security/CTF

SUNINATAS-FORENSIC(30)

 

 

 

 

써니나타스 포렌식 30번 ! memory analysis 문제이다.

분석은 volatility를 사용했다.

 

volatility 기본 커맨드 사용형태는 아래와 같다.

-f 'memoryfile' --profile=os 

 

제일 먼저 덤프파일의 이미지 정보를 분석한다.

여기서는 os의 정보를 확인 할 수 있다.

 

이제 ip주소를 확인해야한다. netscan명령어로 네트워크 기록을 확인한다.

 

local address 의 ip 192.18.197.138이 PC의 ip임을 확인할 수 있다.

(왼쪽 Local Address / 오른쪽 Foreign Address)

 

filescan명령어를 이용해 파일을 스캔하여 filescan.elf 파일로 저장했다.

 

기밀문서가 될 수 있는 파일의 확장자를 하나씩 검색해보았다. (hwp, doc ...)

doc 확장자로 검색했는데 기밀문서로 보이는 SecreetDocumen7.txt 가 얻어걸렸다.

 

elf파일에 offset이 나와있긴하지만 정확함을 위해 한번 더 검색해준다.

 

하나밖에 없음을 확인하고 SecreetDocumen7의 오프셋을 참조하여 dumpfiles 명령어를 이용해 파일을 덤프한다.

 

덤프한 파일을 열면 key값이 나온다!

 

 

 

'Security > CTF' 카테고리의 다른 글

SUNINATAS-FORENSIC(30)  (0) 2019.07.24
SUNINATAS-FORENSIC  (0) 2019.07.06
Hackigcamp CTF_2019  (0) 2019.06.28