문제
풀이
.vmss 파일이란 VMware에 사용되는 파일로 Suspended 상태의 가상머신을 저장한다.
이를 확인하기 위해 Volatility를 통해 정보들을 살펴보겠다.
아래 링크에서 Volatility를 설치하는 방법을 알 수 있습니다.
volatility 설치 (Ubuntu 16.04 기준)
맨날 쓰는 volatility 인데 할 때마다 새로 설치하고 명령어 찾는게 귀찮아서 그냥 내가 참고하기 위해 여기에다가 써둠. Ubuntu 16.04 처음깔고난 상태로 가정했을 때 아래 순서대로만 하면 됨 간혹 ap
cpuu.postype.com
아래 결과를 통해 우리는 해당 메모리가 Window 7을 이용했다는 것을 알 수 있다.
vol.py -f Target1-1dd8701f.vmss imageinfo
pslist 플러그인을 통해 현재 작동중인 프로세스를 확인하면 그 중 OUTLOOK.EXE 프로세스를 확인할 수 있다.
OUTLOOK.EXE는 마이크로소프트사의 무료 이메일 서비스인 아웃록닷컴과 관련 된 것을 알 수 있다.
* pslist : 시스템의 프로세스를 출력한다. 하지만 은닉되거나 연결이 끊어진 프로세스는 출력되지 않는다
(오프셋, 프로세스 이름, PID, PPID, 스레드 수, 핸들의 수, 프로세스 시작 시간과 종료 시간)
vol.py -f Target1-1dd8701f.vmss --profile=Win7SP0x86 pslist
OUTLOOK.EXE의 PID인 3196을 통해 덤프를 뜨면 아래의 결과와 같다.
vol.py -f Target1-1dd8701f.vmss --profile=Win7SP0x86 memdump -p 3196 -D ./
덤프한 파일안에 들어있는 문자열들을 확인하기 위해 String.exe를 통해 dmp파일을 txt파일로 변환시킵니다.
strings.exe 3196.dmp > 3196dmp.txt
3196dmp.txt 파일을 확인한 후 메일일 것 같은 gamil.com을 검색해보니 아래 메일이 검색되었다.
그러므로 flag는 th3wh1t3r0s3@gmail.com임을 알 수 있다.
'CTF > Forensic' 카테고리의 다른 글
| [CTF-d Multimedia] 우리는 바탕화면 캡처 본을 얻었다. (0) | 2021.04.29 |
|---|---|
| [CTF-d Multimedia] 답을 찾기 위해 돋보기를 써라! (0) | 2021.04.29 |
| [CTF-d Disk] 이벤트 예약 웹사이트를 운영하고… #A, B, C (0) | 2021.04.02 |
| [CTF-d Memory] GrrCON 2015 #2 (0) | 2021.04.01 |
| [CTF-d Multimedia] 사진 속에서 빨간색이... (2) | 2021.04.01 |
댓글