Memory - GrrCON 2015 #17

 

보안 관리자 컴퓨터로 접근해서 비밀번호를 덤프 떳다고 합니다.

cmdscan을 이용해서 cmd로 어떤 작업을 했는지 확인해 보겠습니다.

 

wce.exe 를 이용해서 w.tmp라는 파일로 내보내기 한것 같습니다.

 

w.tmp 라는 파일을 스캔해서 추출해 보겠습니다.

 

0x000000003fcf2798 입니다.

dumpfiles 플러그 인을 이용해서 추출까지 완료해 보겠습니다.

 

해당 파일을 에디터로 확인해 보겠습니다.

 

Flag : t76fRJhS

 

출처 : 디지털 포렌식 with CTF