/* 프로그램 실행 환경 : 윈도우 10 *
volatility standalone 버전을 사용했습니다./
볼라틸리티 설치법과 관련해서는 아래의 글을 참고해주세요!
2021/02/17 - [Wargame] - [디지털 포렌식] Volatility 설치법, 사용법 | 윈도우 10 Volatility standalone
[디지털 포렌식] Volatility 설치법, 사용법 | 윈도우 10 Volatility standalone
/* 프로그램 실행 환경 : 윈도우 10 */ 볼라틸리티 설치법은 꽤 많이 있다. 운영체제에 따라 다르고, 또 exe파일로 설치할 것인지, 직접 python의 설치 경로에 파일을 넣어주면서 설치할 것인지에 따
i-am-seongni.tistory.com
suninatas.com/challenge/web30/web30.asp
Game 30
General Kim's PC was hacked by Hacker Here is a Memory Dump at that time, You should find what Hacker did Q1 : IP Address of General Kim's PC Q2 : Which secret document did Haker read? Q3 : What is content of secret document? There is a "Key" Auth Key = lo
suninatas.com
볼라틸리티 명령어와 관련해서는 아래의 블로그를 참고해주세요!
wave1994.tistory.com/31velog.io/@jjewqm/%EB%A9%94%EB%AA%A8%EB%A6%AC-%ED%8F%AC%EB%A0%8C%EC%8B%9D
메모리 포렌식 : Volatility
메모리포렌식과 Volatility명령어를 정리합니다.
velog.io
SuNiNaTaS 30번 문제의 본문이다. 메모리 덤프 파일을 다운받아주자.
우리가 알아야 하는 것은 1, 2, 3의 답이다.
먼저 메모리 덤프 분석을 통해서 IP를 구해보자.
volatility_2.6_win64_standalone.exe -f MemoryDump(SuNiNaTaS) imageinfo
imageinfo 명령어를 통해 이미지 프로파일을 띄웠다.
다양한 플러그인을 사용하기 위해서는 운영체제를 알아야 명령어를 쓸 수 있다.
이 PC의 시스템 운영체제는 Win7SP1x86_23418이다.
volatility_2.6_win64_standalone.exe -f MemoryDump(SuNiNaTaS) --profile=Win7SP1x86_23418 netscan
시스템 운영체제를 알았으니, netscan 명령어를 이용해서 IP를 알아보자.
명령어를 입력하면 네트워크를 통해 어떤 활동을 했는지 알 수 있다.
Local Address에서 동일한 IP주소가 계속 반복되는데,
192.168.197.138이 해커의 IP주소인 것 같다.
volatility_2.6_win64_standalone.exe -f MemoryDump(SuNiNaTaS) --profile=Win7SP1x86_23418 filescan
filescan 명령어를 사용하면 메모리상의 파일 오브젝트를 전체검색 할 수 있다.
여기에서 해커가 열람한 문서의 파일명을 알아내야 한다.
volatility_2.6_win64_standalone.exe -f MemoryDump(SuNiNaTaS) --profile=Win7SP1x86_23418 userassist
filescan은 실행결과 너무 많이 나와서 짜증난다..
그래서 메모리에 저장된 레지스트리 정보를 바탕으로 실행되었던 응용프로그램에 대한
정보를 분석하는 userassist 명령어를 사용했다.
명령어를 통해 보니까 해커가 메모장을 이용해서 기밀문서를 열람한 것 같다.
정황상 cmd로 노트패드 실행해서 열어본 듯 ㄷㄷㄷㄷㄷㄷ
volatility_2.6_win64_standalone.exe -f MemoryDump(SuNiNaTaS) --profile=Win7SP1x86_23418 cmdscan
cmd로 노트패드를 실행한 것이 맞는지 확인하기 위해서 cmdscan 명령어를 사용했다.
그랬더니 바탕화면에 있는 SecreetDocumen7.txt 파일을 열람했음을 알 수 있다.
이제 문서의 파일명을 알았고, 문서의 내용을 알아내야 한다.
volatility_2.6_win64_standalone.exe -f MemoryDump(SuNiNaTaS) --profile=Win7SP1x86 filescan | findstr "SecreetDocumen7.txt"
filescan | findstr "파일명.확장자"를 이용해서 SecreetDocumen7.txt 파일의 가상메모리 위치를 찾아주었다.
이제 이 위치를 사용해서 덤프를 떠보자~
volatility_2.6_win64_standalone.exe -f MemoryDump(SuNiNaTaS) --profile=Win7SP1x86 dumpfiles -Q 0x000000003df2ddd8 -D ./
dumpfiles - Q 가상메모리 주소 -D ./를 입력하면, 현재 폴더에 해당 파일을 추출할 수 있다.
파일이 잘 추출된 모습! 더블클릭해서 메모장으로 열어보자
열어보니까 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~key가 있다.
1번, 2번, 3번의 답을 모두 띄어쓰기 없이 적어주고
md5 암호화 시켜주자!!!!
Auth란에 입력하면 ~ 문제 풀기 성공~~~
'Security > Wargame' 카테고리의 다른 글
| [디지털 포렌식] Volatility 설치법, 사용법 | 윈도우 10 Volatility standalone (0) | 2021.02.17 |
|---|---|
| [디지털 포렌식] one_data_one_zip 풀이 | 네트워크 포렌식, Wireshark, Advanced Archive Password Recovery 사용 (5) | 2021.02.11 |
| [디지털 포렌식] board 풀이 | 네트워크 포렌식, Wireshark 도구 사용 (0) | 2021.02.10 |
| [디지털 포렌식] N0Named wargame Left Side B | HxD 도구 사용 (2) | 2021.02.04 |
| [디지털 포렌식] N0Named wargame 길에서 주어온 만두 | HxD, OpenStego 도구 사용 (0) | 2021.02.04 |