반응형

SuNiNaTaS의 30번문제 풀이입니다. 


[FORENSIC]


해커가 김장군의 PC에  침투한 흔적을 발견하였다.

사고 직후 김장군의 PC에서 획득한 메모리 덤프를 제공받은 당신은 해커가 한 행동을 밝혀내야한다.


1. 김장군 PC의 IP 주소는?

2. 해커가 열람한 기밀문서의 파일명은?

3. 기밀문서의 주요 내용은? 내용속에 "Key"가 있다.


인증키 형식 : lowercase(MD5(1번답+2번답+3번키))



이번에는 1GB 짜리 메모리 덤프 파일이다.


메모리 분석 도구인 Volatility를 사용했습니다.


Volatility Linux 설치 방법

git clone https://github.com/volatilityfoundation/volatility.git


cd volatility


python setup.py build


sudo python setup.py install





편의를 위해서 MemoryDump(SuNiNaTaS) 파일명을 Mem으로 변경하고 풀었습니다.



vol.py -f Mem imageinfo


명령어로 시스템 정보를 확인했다. 이 정보를 확인해야 플러그인 사용이 가능하기 때문이다.




ip 주소를 알아야 한다.

netscan을 이용해서 사용중인 ip와 port확인이 가능하다.


vol.py -f Mem --profile=Win7SP1x86 netscan





Local Address부분을 확인해 보면 ip주소가 192.168.197.138임을 확인할 수 있다.




문서를 열람했다면 그 문서를 읽는 프로세스가 실행되었다는 것이다.

pstree를 통해 프로세스들을 확인할 수 있다.


vol.py -f Mem --profile=Win7SP1x86 pstree




가장 의심해볼만한 것은 cmd.exe에서 실행된 notepad.exe인 것 같다.

정확히 cmd에 어떤 명령을 내렸는지는 cmdscan을 통해 알 수 있다.

vol.py -f Mem --profile=Win7SP1x86 cmdscan



C:\Users\training\Desktop\SecreetDocumen7.txt 파일을 연 것으로 보인다.

파일명 : SecreetDocumen7.txt



이제 이 파일의 내용을 확인해야 한다.


R-Studio라는 데이터 복구 프로그램을 통해 해당 파일내용확인이 가능하다.



해당 프로그램을 설치할 때, RStuido랑 헷갈리면 안된다..


다운로드 링크 : https://www.r-studio.com/ko/




R-Stuido를 실행하고 메모리 덤프 파일을 불러와 스캔한 뒤, 해당 파일 경로로 이동해서 파일 내용을 확인했다.



key : 4rmy_4irforce_N4vy




MD5(192.168.197.138SecreetDocumen7.txt4rmy_4irforce_N4vy)


authkey : c152e3fb5a6882563231b00f21a8ed5f


반응형

'WAR GAME > SuNiNaTaS' 카테고리의 다른 글

SuNiNaTaS [FORENSIC 32번] 풀이  (0) 2018.09.04
SuNiNaTaS [FORENSIC 31번] 풀이  (0) 2018.09.03
SuNiNaTaS [FORENSIC 29번] 풀이  (3) 2018.08.08
SuNiNaTaS [FORENSIC 28번] 풀이  (0) 2018.08.07
SuNiNaTaS [SYSTEM 27번] 풀이  (0) 2018.08.07

+ Recent posts