Level 30
-
[Forensic] Level 30 [366pt]$ Wargame $/$ Suninatas $ 2019. 8. 19. 14:08
문제 파일을 다운 받아보겠습니다. 일단 문제의 파일은 메모리 덤프이기 때문에 분석함에 있어서 volatility를 사용해야 합니다. volatility를 이용해서 info를 한번 확인해 보겠습니다. 편의를 위해서 이름을 Memory로 변경해서 문제 풀이를 해보겠습니다. Win7SP1x86이네요 그러면 이제 첫번째 문제인 pc의 ip주소를 한번 알아 보겠습니다. netscan을 이용해서 ip를 알아본 결과 192.168.197.138이라는 것을 알 수 있습니다. 그리고 두번째문제를 보면 열어본 파일의 이름을 찾는 문제입니다. 파일을 열었다는 것은 프로세스가 실행 됬을 것이라는 뜻도 되기 때문에 문제를 해결하기 위해서 vol.py 에서 사용할 수 있는 pstree를 사용해 보겠습니다. 프로세스 중에서 cmd..