이번 문제는 이메일을 보낸 전자 메일 주소를 찾는 문제이다.
문제에서 vmss 파일을 주었다.
VMSS 파일은 가상 시스템(VM)이 일시 중지 된 상태인 경우,
소프트웨어가 자동적으로 일시적으로 중지된 상태를 저장하는 파일이다.
VMSS파일은 VM이 중단 된 지점에서 VM을 다시 시작하는데 사용된다.
https://blog.naver.com/i1004yu/221973880923
[Volatility] 윈도우에서 Volatility 2.6 설치
1. 파이썬 2.7x버전을 설치한다. (이 과정은 생략하겠다.)2. pycrypto-2.6을 설치한다.http://www.voidsp...
blog.naver.com
이 파일을 분석하기 전에 볼라틸리티를 다운받아 준다.
볼라틸리티(Volatility)는 오픈 소스 기반으로 CLI 인터페이스를 제공하는 메모리 분석 도구이다.
다운로드는 위 사이트에서 받아주자!
※ 비슷한 기능을 제공하는 도구로는 구글에서 제작한 rekall, 멘디언트에서 제작한 redline 등이 있음.
Imageinfo 는 덤프파일의 이미지 정보를 분석할 수 있는 명령어이다.
이 파일의 프로파일명은 Win7SP1x86 였고, 뒤에서 사용할 pslist 등의 명령어에 사용되므로 기억해두자!
형식 : vol.py -f [덤프 파일] imageinfo
Pslist 명령어는 시스템 프로세스들의 정보를 보여주기 위해 사용한다.
OUTLOOK.EXE는 이메일과 관련된 이미지이고, PID는 3196이었다.
※pslist 는 은닉되거나 연결이 끊긴 프로세스는 출력하지 않기 때문에 psscan 명령어를 통해 파악한다.
Cmdline 은 cmd에서 실행한 명령어의 자세한 이력을 확인하는 명령어다.
결과를 보면 사용자가 OUTLOOK.EXE 파일을 실행한 것을 다시 한번 알 수 있다.
Memdump 명령어를 통해 덤프를 저장할 수 있다.
Vmss파일의 PID 3196번 내용을 해당 디렉토리에 저장하겠다는 의미이다.
형식 : vol.py -f [덤프 파일] --profile=[프로파일명] memdump -p [PID] -D [디렉토리 경로]
폴더 안에서 덤프파일이 정상적으로 추출된 것을 확인할 수 있다.
strings.exe 프로그램을 이용해 dmp 파일의 내용을 txt 파일로 확인해보았다.
이메일 주소를 찾으면서 "@", ".com" 등 다양하게 검색해보았다.
다양한 이메일 주소가 있었지만 th3wh1t3r0s3@gmail.com 이메일이 제일 의심 되었다.
정답은 th3wh1t3r0s3@gmail.com 이었다 성공~~!!
'디지털 포렌식(Digital Forensics) > CTF(ctf-d.com)' 카테고리의 다른 글
| [Memory] GrrCON 2015 #3 (0) | 2020.07.27 |
|---|---|
| [Memory] GrrCON 2015 #2 (1) | 2020.07.20 |
| [Network] DefCoN#21 #5 (0) | 2020.07.20 |
| [Multimedia] splitted (0) | 2020.07.15 |
| [Multimedia] 저희는 이 문서를 찾았습니다. (0) | 2020.07.14 |
댓글