-
Memory - GrrCON 2015 #8$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 17:56
해당 문제는 거의 100% 게싱 수준의 문제라고 생각이 된다.
Target1-1dd8701f.vmss 파일의 이곳저곳을 살펴 보던중 NTFS 파일 시스템에서 파일의 메타 데이터를 저장하는 파일인 MFT에서 해답을 찾을 수 있었습니다.
Volatility 에는 mftparser 라는 플러그인이 존재 하기 때문에 방대한 데이터를 mftparser_data 라는 이름으로 내보내기를 했습니다.
그리고 해커의 정보가 있다고 하는데 .txt 같은 파일 보다는 사용자 명으로 있을거 같다는 생각이 들어서 Users\ 를 검색해 봤습니다.
그중 좀 수상한 이름을 발견했습니다.
zerocool 이란 Hackers 라는 영화에서 주인공이 사용하는 닉네임 입니다.
Flag : Hackers
출처 : 디지털 포렌식 with CTF
'$ 포렌식 $ > $ 디지털 포렌식 with CTF $' 카테고리의 다른 글
Memory - GrrCON 2015 #10 (0) 2020.01.03 Memory - GrrCON 2015 #9 (0) 2020.01.03 Memory - GrrCON 2015 #7 (0) 2020.01.03 Memory - GrrCON 2015 #6 (0) 2020.01.03 Memory - GrrCON 2015 #5 (0) 2020.01.03