GrrCON 2015 #20
-
Memory - GrrCON 2015 #20$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:54
rar 아카이브에 추가한 파일명을 찾아야 합니다. cmdscan 으로 봤을때 conhost.exe 가 작업을 했는데 해당 프로세스의 PID를 확인하고, memdump를 이용해서 덤프를 떠보겠습니다. PID 값은 3048 입니다. 추출한 3048.txt 파일을 확인해서 rar파일에 파일을 추가한 부분을 찾아보겠습니다. SecretSauce1.txt SecretSauce2.txt SecretSauce3.txt 가 추가된 파일 명입니다. Flag : SecretSauce1.txt,SecretSauce2.txt,SecretSauce3.txt 출처 : 디지털 포렌식 with CTF