문제
풀이
해커의 정보가 존재한다고 하였다. 아마 계정의 이름이 해커의 이름이 아닐까 생각하였다. 계정의 정보는 MFT에 담겨져 있다. MFT는 Master File Table로 볼륨에 존재하는 모든 파일과 디렉토리에 대한 정보를 가진 테이블이다.
volatility에서 mft를 찾아보기 위해서는 mftparser라는 플러그인을 사용하면 된다.
vol.py -f vmss 파일> --profile=<프로파일 정보> mftparser
flag.txt 파일에 해당 플러그인으로 출력되는 정보를 담았다.
flag.txt 파일을 열면 아래와 같이 보인다. 계정 정보니까 'USER'를 키워드로 검색해보았다.
계속 검색해보면 'zerocool'이라는 이름이 나온다. 아마도 이것이 해커의 이름일 것이다.
이후 구글링해보면 아래와 같이 영화 제목을 알 수 있다.
'CTF > ctf-d' 카테고리의 다른 글
| [Memory] GrrCON2015 #9 (0) | 2022.03.23 |
|---|---|
| [Network] DefCoN#21 #5 (0) | 2022.03.09 |
| [Network] DefCoN#21 #7 (0) | 2022.03.06 |
| [Network] DefCoN#21 #6 (0) | 2022.03.06 |
| [Memory] GrrCON2015 #7 (0) | 2022.03.02 |
