Memory Forensics
-
[DEFCON DFIR CTF 2019] Memory Forensics$ 포렌식 $/$ 포렌식 문제 풀이 $ 2019. 9. 11. 00:04
get your volatility on triage.mem의 sha1 hash 값은? 이라는 문제입니다. Flag : flag pr0file 이 머신의 운영체제 버전은 몇인가? 라는 문제입니다. 이제 메모리 분석의 강력한 툴인 volatility를 사용할 때가 온것 같습니다. [원래 ubuntu 에서 사용했지만 windows로 넘어갈 예정이라 window에서 해보겠습니다.] 아래와 같은 명령어로 찾아 볼 수 있습니다. python vol.py -f "C:\Adam Ferrante - Triage-Memory.mem" imageinfo python vol.py -f "C:\Adam Ferrante - Triage-Memory.mem" kdbgscan Flag : flag hey, write this do..