-
Memory - GrrCON 2015 #1$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 12. 20. 21:40
Target1-1dd8701f.vmss 파일을 가지고 1번 부터 16번 문제까지 풀이를 하는것으로 확인이 됩니다.
이상한 메일을 클릭한것 같다고 하면서 어떤 이메일로 메일이 왔는지 찾는 문제입니다.
.vmss 파일이란?
VMware에 사용되는 파일로, Suspended 상태를 저장하는 파일로서 suspend된 가상 머신의 상태를 저장합니다.
Volatility Tool를 이용해서 해당 파일의 imageinfo를 알아 보겠습니다.
--profile 옵션에 넣어야 하는 값은 Win7SP0x86이라는 것을 얻었고, 메모리 관련 파일이기 때문에 프로세스를 확인해 보겠습니다.
이메일 관련 프로그램 프로세스인 outlook.exe 가 실행 되는 것을 확인 할 수 있었습니다.
해당 프로세스의 PID 값을 이용해서 메모리 덤프를 추출해 보겠습니다.
여러 이메일 을 검색해본 결과 "@gmail.com" 에서 검색이 됩니다.
Flag : th3wh1t3r0s3@gmail.com
출처 : 디지털 포렌식 with CTF
'$ 포렌식 $ > $ 디지털 포렌식 with CTF $' 카테고리의 다른 글
Memory - GrrCON 2015 #3 (0) 2019.12.20 Memory - GrrCON 2015 #2 (0) 2019.12.20 Disk - A회사 보안팀은 내부직원... (0) 2019.11.06 Disk - 판교 테크노밸리 K기업에서... #1,2 (0) 2019.11.06 Disk - 이벤트 예약 웹사이트를 운영하고… #A,B,C (0) 2019.11.06