문제의 설명은 다음과 같다 일단 다운받아보자.
메모리 포렌식인 만큼 볼라를 사용해보자 먼저 imageinfo 명령어를 통해 profile 정보를 얻는다
vol.py -f "vmss경로명\파일" imageinfo
그러자 다음과 같이 나왔다 운영체제 명을 알 수 있다
Win7SP0x86
이후 pslist 명령어를 통해 프로세스 리스트를 출력한다
vol.py -f "vmss경로명\파일" --profile=프로파일 pslist
여러 개의 프로세스가 생성된 것을 확인
우리가 알아야 되는 것은 전자 메일 이메일이다 그러므로 OUTLOOK.exe를 덤프 파일로 따자
memdump 명령어를 통해 OUTLOOK.exe의 PPID 3196의 덤프파일을 만들어준다
완료
dmp 파일을 txt 파일로 바꿔주기 위해 strings.exe 설치
https://docs.microsoft.com/ko-kr/sysinternals/downloads/strings
Strings - Windows Sysinternals
Search for ANSI and UNICODE strings in binary images.
docs.microsoft.com
string.exe를 이용하여 덤프 파일의 내용을 메모장에 옮겨 줌
텍스트 파일을 열어 naver daum hanmail 그리고 gmail까지 서치해봤다
gmail을 서치했을 때 이메일 주소 찾을 수 있었다
이메일 주소를 입력하자
CLEAR
어렵다 메모리 포렌식은...
string.exe를 이용하여 덤프 파일의 내용을 메모장에 옮겨 줌
'WARGAME 문제 풀이' 카테고리의 다른 글
| ctf-d 우리는 이 파일에 플래그를... (0) | 2021.04.30 |
|---|---|
| ctf-d 사진 속에서 빨간색이.. (0) | 2021.04.30 |
| ctf-d DefCoN#21 #1 (0) | 2021.04.01 |
| ctf-d 저는 플래그를 이 파일에 (0) | 2021.04.01 |
| ctf-d 제 친구의 개가 바다에서 (0) | 2021.04.01 |
