오늘의 문제는 이메일로 첨부해서 보낸 파일의 이름은 무엇인지 찾는 문제다.
GrrCON 2015 #1 문제의 연장선이다.
https://liz09045.tistory.com/28
[Memory] GrrCON 2015 #1
이번 문제는 이메일을 보낸 전자 메일 주소를 찾는 문제이다. 문제에서 vmss 파일을 주었다. VMSS 파일은 가상 시스템(VM)이 일시 중지 된 상태인 경우, 소프트웨어가 자동적으로 일시적으로 중지된
liz09045.tistory.com
GrrCON2015 #1 및 imageinfo, pslist, memdump, string,exe 관련 내용은 위 링크에서 확인하세요!
저번 글에서 한 것과 같이 imageinfo로 프로파일명을 확인한 뒤 명령을 실행한다.
문제에서 제시된 KEY Format이 XXX.exe 인 것을 보고, filescan과 findstr 명령어를 사용해서 exe 관련한 기록들을 찾아보았다. 계속해서 중복되는 값들이 있는데, AnyConnectInstaller.exe 가 계속해서 보인다
Filescan: 물리적 메모리에서 파일 오브젝트를 찾기 위한 명령어
Findstr: 파일에서 문자열을 검색하는 명령어
pslist를 이용해 현재 작동중인 프로세스를 확인해보고,
이메일과 관련된 OUTLOOK.EXE 파일의 PID를 이용해 memdump를 실행해준다.
memdump 명령어를 사용해서 OUTLOOK.EXE의 덤프파일을 만들어 주었다. 이전에 GrrCON 2015 #1 을 풀었다면 dump 파일이 이미 있을테니까 생략하셔도 됩니다!
AnyConnectInstaller.exe 를 덤프파일에서 검색을 해보았는데 많은 내용들을 찾을 수 있었다.
AnyConnerInstaller.exe 를 검색하다보면, ip주소로 추측되는 웹에 관한 내용이 있다.
문제에서 이메일로 첨부해서 보낸 파일들을 찾는 거였는데,
이메일 관련 내용인 OUTLOOK.exe의 덤프파일에서
AnyConnectInstaller.exe와 웹에 관한 내용이 있는 걸 보니 답은 여기에 있는 것 같다.
정답은 AnyConnectInstaller.exe
참고자료
https://blog.naver.com/i1004yu/221991632848
[DigitalForensic with CTF] GrrCON 2015 #2
=> KEY Format이 .exe여서 exe 파일을 중점적으로 찾아보았다.=> filescan | find...
blog.naver.com
여기 블로그에도 포렌식 관련 좋은 글 많이 있으니까 한번씩 확인해보세용!
'디지털 포렌식(Digital Forensics) > CTF(ctf-d.com)' 카테고리의 다른 글
| [Network] DefCoN#21 #6 (0) | 2020.08.01 |
|---|---|
| [Memory] GrrCON 2015 #3 (0) | 2020.07.27 |
| [Memory] GrrCON 2015 #1 (0) | 2020.07.20 |
| [Network] DefCoN#21 #5 (0) | 2020.07.20 |
| [Multimedia] splitted (0) | 2020.07.15 |
댓글