[Forensic] Level 30 [366pt]

문제 파일을 다운 받아보겠습니다.

 

일단 문제의 파일은 메모리 덤프이기 때문에 분석함에 있어서 volatility를 사용해야 합니다.

volatility를 이용해서 info를 한번 확인해 보겠습니다.

편의를 위해서 이름을 Memory로 변경해서 문제 풀이를 해보겠습니다.

 

 

Win7SP1x86이네요 그러면 이제 첫번째 문제인 pc의 ip주소를 한번 알아 보겠습니다.

 

netscan을 이용해서 ip를 알아본 결과 192.168.197.138이라는 것을 알 수 있습니다.

 

그리고 두번째문제를 보면 열어본 파일의 이름을 찾는 문제입니다.

파일을 열었다는 것은 프로세스가 실행 됬을 것이라는 뜻도 되기 때문에 문제를 해결하기 위해서 vol.py 에서 사용할 수 있는 pstree를 사용해 보겠습니다.

 

프로세스 중에서 cmd.exe 에서 notepad.exe 를 실행 했던 것을 확인할 수 있었습니다.

 

cmd.exe에서 어떤 명령어를 사용했는지 확인해 보겠습니다.

 

SecreetDocument7.txt 파일을 열람한 흔적이 있습니다.

 

그렇다면 memory를 열어서 세번째 문제를 해결해 보겠습니다.

 

 

이미지 스캔을 하고 내부 파일을 확인해 보겠습니다.

 

SecreetDocumen7.txt 를 찾았습니다.

내용을 확인해 보면 다음과 같습니다.

 

Key : 4rmy_4irforce_N4vy

 

3가지 키를 전부 이어서 md5로 바꾸고 소문자로 변환해 보겠습니다.

MD5(192.168.197.138SecreetDocumen7.txt4rmy_4irforce_N4vy)

 

 

C152E3FB5A6882563231B00F21A8ED5F -> c152e3fb5a6882563231b00f21a8ed5f

 

Authkey : c152e3fb5a6882563231b00f21a8ed5f