-
Memory - GrrCON 2015 #11$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:34
문제를 확인해 보면 평문으로 암호를 저장하는데 저번 문제에서 언급했던 옮겼던 툴 3개중에서 하나를사용해서 dump를 했다고 합니다.
그렇다면 해당 3개의 실행 프로그램이 어떤 역할을 하는 프로그램인지 확인해 보겠습니다.
위의 3가지중 해당 문제에서 평문 암호와 관련된 이야기가 언급 되어 있기 때문에 wce.exe 프로그램과 관련이 있다고 할 수 있습니다.
wce.exe 프로그램은 아래와 같이 사용하게 됩니다.
그렇기 때문에 cmd로 입력을 했을 가능성이 매우 큽니다.
volatility 플러그인 중에서 cmdscan 을 이용해 보겠습니다.
wce.exe -w > w.tmp 라는 명령어를 이용한것으로 보아 wce.exe 의 결과가 w.tmp에 저장 되어 있다는 것을 알 수 있습니다.
0x000000003eca37f8 이라는 것을 알게 되었고, dumpfiles 플러그인을 이용해서 w.tmp 파일을 덤프 떠보겠습니다.
파일의 내용을 확인해 보면 아래와 같습니다.
Flag : flagadmin@1234
출처 : 디지털 포렌식 with CTF
'$ 포렌식 $ > $ 디지털 포렌식 with CTF $' 카테고리의 다른 글
Memory - GrrCON 2015 #13 (0) 2020.01.03 Memory - GrrCON 2015 #12 (0) 2020.01.03 Memory - GrrCON 2015 #10 (0) 2020.01.03 Memory - GrrCON 2015 #9 (0) 2020.01.03 Memory - GrrCON 2015 #8 (0) 2020.01.03