Memory - GrrCON 2015 #28

 

앞서 dump파일에서 난독화를 해제한 결과값을 확인해 봤었습니다.

 

위의 경로인 C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ 에 어떤 파일이 있는지 확인해 보겠습니다.

 

 

mftparser를 이용해서 위의 경로를 찾아보면 th3k3y.txt 파일을 찾을 수 있습니다.

 

 

filescan을 이용해서 해당 파일의 가상 주소를 출력해 보겠습니다.

 

이제 출력된 0x000000006cb04d90을 dumpfiles 의 -Q 옵션으로 파일을 추출 해 보겠습니다.

 

추출된 파일을 확인해 보면 Base64 암호화 인코딩 된 문자열을 확인 할 수 있습니다.

 

Flag : eNpzLypyzs/zyS9LLfYtCspPyi9xzEtxKzZIzkwtqVRUVAQAybULlw==

 

출처 : 디지털 포렌식 with CTF