Memory - GrrCON 2015 #20

rar 아카이브에 추가한 파일명을 찾아야 합니다. 

cmdscan 으로 봤을때 conhost.exe 가 작업을 했는데 해당 프로세스의 PID를 확인하고, memdump를 이용해서 덤프를 떠보겠습니다.

 

PID 값은 3048 입니다.

 

추출한 3048.txt 파일을 확인해서 rar파일에 파일을 추가한 부분을 찾아보겠습니다.

 

SecretSauce1.txt  SecretSauce2.txt  SecretSauce3.txt 가  추가된 파일 명입니다.

 

Flag : SecretSauce1.txt,SecretSauce2.txt,SecretSauce3.txt

 

출처 : 디지털 포렌식 with CTF