볼라틸리티에 넣어보자.
.\volatility_2.6_win64_standalone.exe -f '.\MemoryDump(SuNiNaTaS)' imageinfo
먼저 김장군 PC의 IP 주소를 알아야 하니까 netscan 이용했다.
.\volatility_2.6_win64_standalone.exe -f '.\MemoryDump(SuNiNaTaS)' --profile=Win7SP0x86 netscan
그랬더니 반복적으로 나오는 한 개의 Local Address가 있었다.
1. 김장군 PC의 IP 주소는? 192.168.197.138
다음으로 열람한 기밀 문서를 찾아야 한다. 실행한 명령어 이력을 보기 위해 cmdscan을 사용했다.
.\volatility_2.6_win64_standalone.exe -f '.\MemoryDump(SuNiNaTaS)' --profile=Win7SP0x86 cmdscan바로 보이는 딱 봐도 수상한 문서
2. 해커가 열람한 기밀문서의 파일명은? SecreetDocumen7.txt
이제 그 문서의 내용을 봐야한다. 1) 파일 위치를 찾고 2) 덤프를 떠야 한다.
filescan | findstr로 파일 위치를 찾았다.
.\volatility_2.6_win64_standalone.exe -f '.\MemoryDump(SuNiNaTaS)' --profile=Win7SP0x86 filescan | findstr SecreetDocumen7.txt
여기서 덤프를 떴는데 여기서 정말 정말 중요한 것은..."-Q" 옵션입니다... (까먹었다가 170개 덤프 파일 생긴 사람)
.\volatility_2.6_win64_standalone.exe -f '.\MemoryDump(SuNiNaTaS)' --profile=Win7SP0x86 dumpfiles -Q 0x000000003df2ddd8 -D ./
나온 애를 갖다가 스트링즈로 뽑아보아여
.\strings64.exe .\file.None.0x85d7d150.dat
3. 기밀문서의 주요 내용은? 내용속에 "Key"가 있다. 4rmy_4irforce_N4vy
Auth Key = lowercase(MD5(Answer of Q1+Answer of Q2+Key of Q3)) = lowercase(MD5(192.168.197.138SecreetDocumen7.txt4rmy_4irforce_N4vy) = c152e3fb5a6882563231b00f21a8ed5f
728x90
'Wargame > SuNiNaTaS' 카테고리의 다른 글
| SuNiNaTaS 31 (FORENSICS 200pt) (0) | 2020.11.27 |
|---|---|
| SuNiNaTaS 13 (200pt) (0) | 2020.11.27 |
| SuNiNaTaS 29 (FORENSICS 266pt) (0) | 2020.08.23 |
| SuNiNaTaS 26 (FORENSIC 200pt) (0) | 2020.08.15 |
| SuNiNaTaS 21 (FORENSIC 221pt) (0) | 2020.08.15 |