0. 문제
vmss 파일이 주어져있다. 처음에 VMware를 통해 열어보려 했으나 열리지 않았다. 그래서 기존에 사용중인 가상머신에 파일을 옮긴 후, Volatility를 이용하여 파일을 분석하였다.
1. Profile 확인
vol.py -f Target1-1dd8701f.vmss imageinfo
위와 같은 정보를 얻을 수 있고, Profile은 Win7SP1x86_23418임을 확인할 수 있다.
2. 의심 파일 확인
vol.py -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 pstree먼저 프로세스 구조를 파악하였다. 주어진 문제에서 보면, 이메일을 받았다고 하였다. 이메일 관련 프로그램을 확인해 보면 'OUTLOOK.EXE'를 찾을 수 있다.
3. Dump 파일 확보
vol.py -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 memdump -p 3196 -D ./4. Dump 파일을 txt 파일로 변환
strings 3196.dmp >> 3196.txt
5. Flag 찾기
txt 파일을 sublime을 통해 열어 보았다. '@'로 문자열 검색을 해보니 너무 많은 값이 검색이 되어서, '@naver.com', '@gmail.com' 등과 같이 자주 사용되는 이메일 주소를 찾아보았다. 이로써 flag 값을 찾을 수 있었다.
- vmss 파일이란?
- Suspended 상태를 저장하는 파일로서 suspend된 가상 머신의 상태를 저장
- Volatility란?
- 메모리 포렌식에서 메모리 덤프 파일을 분석할 때, 가장 많이 사용되고 있는 도구
- 오픈 소스 기반으로 CLI 인터페이스를 제공하는 메모리 분석 도구
- 컴퓨터(노트북)에서 덤프된 파일을 분석 가능하며, 프로세스 정보와 네트워크 정보 등을 확인할 수 있음
'CTF > ctf-d' 카테고리의 다른 글
| [Multimedia] 저는 플래그를 이 파일에... (0) | 2022.02.09 |
|---|---|
| [Network] DefCoN#21 #2 (0) | 2022.02.08 |
| [Disk] 이벤트 예약 웹 사이트를 운영하고... #A, #B, #C (0) | 2022.01.31 |
| [Multimedia] 제 친구의 개가 바다에서... (0) | 2022.01.31 |
| [Network] DefCoN#21 #1 (0) | 2022.01.20 |
