-
Memory - GrrCON 2015 #20$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:54
rar 아카이브에 추가한 파일명을 찾아야 합니다.
cmdscan 으로 봤을때 conhost.exe 가 작업을 했는데 해당 프로세스의 PID를 확인하고, memdump를 이용해서 덤프를 떠보겠습니다.
PID 값은 3048 입니다.
추출한 3048.txt 파일을 확인해서 rar파일에 파일을 추가한 부분을 찾아보겠습니다.
SecretSauce1.txt SecretSauce2.txt SecretSauce3.txt 가 추가된 파일 명입니다.
Flag : SecretSauce1.txt,SecretSauce2.txt,SecretSauce3.txt
출처 : 디지털 포렌식 with CTF
'$ 포렌식 $ > $ 디지털 포렌식 with CTF $' 카테고리의 다른 글
Memory - GrrCON 2015 #22 (0) 2020.02.24 Memory - GrrCON 2015 #21 (0) 2020.02.24 Memory - GrrCON 2015 #19 (0) 2020.02.24 Memory - GrrCON 2015 #18 (0) 2020.02.24 Memory - GrrCON 2015 #17 (0) 2020.02.24