Memory2 [CTF-d Memory] GrrCON 2015 #2 문제 풀이 이 문제에서는 이메일로 첨부해 보낸 파일의 이름을 찾아야 하므로 1번 문제에서 만든 1396dmp.txt 파일에서 .exe를 찾아보았다. 그랬더니 메일 내용으로 추정되는 문자열들이 보이고 바로 아래 첨부 파일로 추정되는 AnyConnectInstaller.exe 나왔다. 그러므로 flag는 AnyConnectInstaller.exe임으로 알 수 있다. 2021. 4. 1. [CTF-d Memory] GrrCON 2015 #1 문제 풀이 .vmss 파일이란 VMware에 사용되는 파일로 Suspended 상태의 가상머신을 저장한다. 이를 확인하기 위해 Volatility를 통해 정보들을 살펴보겠다. 아래 링크에서 Volatility를 설치하는 방법을 알 수 있습니다. cpuu.postype.com/post/2189640 volatility 설치 (Ubuntu 16.04 기준) 맨날 쓰는 volatility 인데 할 때마다 새로 설치하고 명령어 찾는게 귀찮아서 그냥 내가 참고하기 위해 여기에다가 써둠. Ubuntu 16.04 처음깔고난 상태로 가정했을 때 아래 순서대로만 하면 됨 간혹 ap cpuu.postype.com 아래 결과를 통해 우리는 해당 메모리가 Window 7을 이용했다는 것을 알 수 있다. vol.py -f Ta.. 2021. 4. 1. 이전 1 다음
