플래그를 찾아라!
-
Multimedia - 플래그를 찾아라!$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 6. 12. 23:03
파일 명은 dump1.raw.lzma 입니다. 확장자가 2개 붙은 느낌이 드는데 [lzma 압축 파일은 lzma 알고리즘에 의해서 구현된 압축기법] [https://www.openthefile.net/ko/extension/lzma] lzma확장자 이기 때문에 unlzma을 이용해서 압축해제부터 하였습니다. dump1.raw을 보니 메모리 덤프파일 일 것 같아서 분석 도구인 volatility를 사용해 보도록 하겠습니다 리눅스에서 volatility를 사용하기위한 환경 구축 ↑이거 순서대로 명령어 작성. 가장 중요한 부분인 Suggested Profile을 잘 보면 Win10x64라고 되어있습니다. 윈도우 10 운영체제의 메모리 덤프 파일이라는 것을 알 수 있습니다. 추가 분석을 위해서 pslist모듈을..