GrrCON 2015 #17
-
Memory - GrrCON 2015 #17$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:50
보안 관리자 컴퓨터로 접근해서 비밀번호를 덤프 떳다고 합니다. cmdscan을 이용해서 cmd로 어떤 작업을 했는지 확인해 보겠습니다. wce.exe 를 이용해서 w.tmp라는 파일로 내보내기 한것 같습니다. w.tmp 라는 파일을 스캔해서 추출해 보겠습니다. 0x000000003fcf2798 입니다. dumpfiles 플러그 인을 이용해서 추출까지 완료해 보겠습니다. 해당 파일을 에디터로 확인해 보겠습니다. Flag : t76fRJhS 출처 : 디지털 포렌식 with CTF