[Forensic] 써니나타스 Challenges 30번 문제

 

음..!! 그러고 보니 28번 문제부터 마지막 32번까지 모두 포렌식 문제다. 일단.. 메모리 덤프 파일을 다운로드하였다. 이번엔 정말 volatility를,, 사용해야 하나 보다. 진짜 세상에서 제일 깔기 힘든 게 볼라틸리틴데,,,,^^

 

나는 VMware 우분투에서 파일을 분석했다.. 

 

 

1. 김장군 PC의 IP 주소는?

./vol.py -f MemoryDump imageinfo

imageinfo를 먼저 사용했다. 참고로 파일명은 MemoryDump로 변경했다.

Win7SP1x86를 사용 중이라는 걸 먼저 확인했다. imageinfo는 이 덤프 파일의 가장 기본적인 이미지를 분석하는데 도움을 준다. 

 

 

netscan은 활성화된 네트워크 연결 정보를 알 수 있는데 이 플러그인을 한 번 써봤다.

 

 vol.py -f [분석할 파일명] --profile=[운영체제명] netscan

출처: https://aaasssddd25.tistory.com/54 [Khan's Blog:티스토리]

 

사용방법은 이렇게!

 

 

아래로 슥슥 내려보면 로컬 어드레스에 192.168.197.138이라는 ip주소가 잔뜩 보인다. 요게 김장군 PC의 IP주소일 것이다.

 

 

2. 해커가 열람한 기밀문서의 파일명은?

 

음 이건 어떤 플러그인을 써야 할지 몰라서 웹 사용기록을 알 수 있는 iehistory 플러그인을 사용했는데 맨 위에 SecreetDocumen7.txt라는 파일을 열람한 흔적이 보였다.

 

아마 이게 기밀문서가 아닐까..!

 

(다른 분들의 풀이 방법을 보니 cmdscan을 사용하셨음)

3. 기밀문서의 주요 내용은? 내용 속에 "Key"가 있다.
내용을 알아내려면.. 파일 복구를 해야 되는데 보통 filescan이나 dumpfiles를 사용한다. dumpfiles 사용하려면 메모리 주소까지 적어야 하는데 그걸 어떻게 하는지 까먹어서 간편하게 filescan으로 진행했다.

 

참고로 윈도우면 findstr을, 리눅스면 grep을 써줘야 한다. 나는 리눅슨데 계속 findstr을 써서 뭐가 문젠지 한찬 헤맴^^;

 

아 근데 filescan은 복구까지는 안 해주는 건가..? 처음 사용해봐서... 근데 왼쪽에 있는 주소가 메모리 주소인 거 같아 이걸 활용해 dumpfiles 플러그인을 써줬다.

 

 

추출됐다!

 

그리고 이게.. .dat 확장자로 저장되는 거라 string 으로 읽을 수 있게 메모장으로 켜줘야 한다.

 

 

인증키 형식 : lowercase(MD5(1번답+2번답+3번키)

 

192.168.197.138SecreetDocumen7.txt4rmy_4irforce (일부 삭제)

 

 

 

와 풀었다,,,^^

 

반나절 동안 이거만 붙잡고 풀었다... 그중 절반은 volatility 재설치하는데 시간을 쏟아부은 사람.. 근데 정말 오랜만에 volatility를 사용했는데 다시 공부하니까 더 재밌는 느낌! 다음 문제로 vol 문제였으면 좋겠다.