[Suninatas] 30 writeup

문제 분석

메모리 덤프를 분석해서 PC의 ip주소, 해커가 열람한 문서명, Key 내용 찾기 문제다.

 

메모리 덤프를 분석해야하니까 volatility를 이용해서 분석하자.

먼저 메모리덤프 파일의 imageinfo를 확인해보자.

사용자의 프로파일 정보를 보면 운영체제가 Win7SP1x86임을 확인할 수 있다.

 

가장 먼저 ip 주소를 알아야하니까 netscan 플러그인을 이용하자.

뭐가 많지만 ip는 3개가 나온다. 127.0.0.1, 0.0.0.0, 192.168.197.138

127.0.0.1은 loopback ip고 0.0.0.0은 어떤 ip든 상관이 없다는 얘기니까 김군의 ip주소는 192.168.197.138이다.

 

이제 해커가 열람한 문서를 찾으면 된다.

pstree 플러그인으로 의심되는 프로세스를 찾아보자.

음 일단 cmd를 사용한 것을 확인할 수 있다. cmd의 PPID는 1408로 이는 explorer.exe다.

그러면 cmdscan으로 명령어를 확인해보자.

2920 pid가 notepad 로 SecreetDocumen7.txt를 열었다. 그리고 netstat -na로 모든 포트넘버를 확인했다.

그리고 이상한 거를 쳤다. 1980 pid도 이상한 걸 똑같이 쳤다. 흠냐

 

일단 연 파일 자체가 SecreetDocumen7.txt 밖에 없으니 해커가 연 건 이 파일일 것이다.

dumpfiles로 파일을 추출하기 위해서는 해당 파일의 메모리주소가 필요하다.

따라서 먼저 filescan 으로 해당 파일의 메모리 주소를 얻어오자.

이제 이 메모리 주소를 이용해 비밀문서파일을 내보내자.

앗! 내용을 읽어보니 Key가 나왔따~^_^; wrong이란다 ^^

하~ 문제가 이게 끝이 아니었네 ~~ 인증키 형식이 있었넹 머쓲

MD5 진짜 돌려야하는걸까?ㅎ 혹시나 그냥 문자열일까 하고 했는데 아니다;; ㅠ

C152E3FB5A6882563231B00F21A8ED5F

이걸 소문자로 입력하면 정답~