반응형
윈도우의 Run 레지스트리에 키에 있는 값(레지스트리는 키와 값이라는 두가지 요소를 포함하고 있음)들은 항상 값이 유지가 되는 값이다. 즉, 문제에서 말하는 '재부팅 후에도 지속성을 유지' 하는 레지스트리 키는 Run 레지스트리에 저장이 되어 있는 것이다.
볼라틸리티를 이용해 레지스트리 값을 확인해보도록 하자!
printkey 명령어는 레지스트리 키의 서브키와 값을 출력해주는 명령어다. -K 옵션은 경로를 입력하면 해당 레지스트리에 관련한 정보를 가져오는 옵션이고, -o 옵션은 가상주소를 입력하면 특정 하이브에 대해서만 탐색해주는 옵션이다.
ex) vol.py -f "D:\CTF-d 문제\Target1-1dd8701f.vmss" --profile=Win7SP1x86 printkey -K "Microsoft\Windows\CurrentVersion\Run"
우리는 윈도우 레지스트리의 경로를 입력해 해당 레지스트리에 관련한 정보를 가져올 것이므로, -K 옵션을 사용해 printkey 명령어를 사용할 것이다!
결과로 나온 키를 보면, VMware관련한 레지스트리키와, 이전 문제들에서 자주 봤던 AnyConnetInstaller.exe의 키 MrRobot을 확인할 수 있다.
정답은 MrRobot 이었다!
반응형
'디지털 포렌식(Digital Forensics) > CTF(ctf-d.com)' 카테고리의 다른 글
| [Network] DefCoN#21 #8 (0) | 2020.08.29 |
|---|---|
| [Memory] GrrCon 2015 #6 (0) | 2020.08.24 |
| [Network] DefCoN#21 #6 (0) | 2020.08.01 |
| [Memory] GrrCON 2015 #3 (0) | 2020.07.27 |
| [Memory] GrrCON 2015 #2 (1) | 2020.07.20 |
댓글