[Multimedia] 5. 플래그를 찾아라! 문제풀이

 

 

갑자기 이 문제에서 정답자 수가 확 줄었다.

 

파일을 먼저 다운로드 받았는데 생각보다 크다. 200MB 정도

 

헉 근데 벌써 volatility를 풀라니,, 두려움이 앞서기 시작

 

하지만.. 이번 2학기에 귀여운 동아리 팀원들과 함께 volatility를 열심히 공부했으니 풀어보도록 하자.

 

 

 

일단 칼리에 dump1.raw.lzma 파일을 다운받고, 압축 풀기를 해주었더니 dump1.raw 파일이 나왔다. 

 

 

 

volatility 실행 및 imageinfo 확인

 

.. 으로 하려고 했는데 아무리 기다려도 imageinfo 출력이 안돼서 검색해봤다.

kdbg를 사용하면 된다고 함.

 

(사실 얘도 오래걸림)

 

 

어쨌든 보니까 Win10x64 라는 것을 확인했고

 

./volatility -f dump1.raw --profile Win10x64 이런식으로 검색하면 됨.

 

imageinfo 다음으로 제일 많이 검색하는 pstree를 사용해보자.

 

 

 

근데 보니까 문제에서 오류가 있었는지 명령어를 그냥 제시해주셨다는걸 까먹고 있었다.

덤프를 뜰 때 -p2012가 아니라 -p 4092 -D ./를 해주어야함.

 

 

 

mspaint.exe 파일이라서 그림판이 실행되고 있었다는 사실을 알 수 있고, 이 데이터를 읽으려면 일단 확장자를 .data로 바꾸어야 한다. 

 

사실 이후에 어떻게 해야하는지 몰라서 고민하다가 그냥 검색했는데, gimp라는 툴을 다운 받으면 된다고 한다. 나는 리눅스에

sudo apt-get install gimp 로 다운받음.

 

 

 

생각보다 오래걸린다.

 

 

 

 

설치가 완료되면 그냥 간단하게 gimp라고 쳐주면 바로 실행된다.

 

 

 

이런식으로 데이터를 불러옴

 

 

 

offset, width, height를 조절해보니까 얼추 뭐가 보인다

 

 

 

 

와! 뭐가 보임

 

 

 

플래그값: CTF{HeRe_GoEs_thG_FLaG}

 

 

 

하,, 이건 복잡해서 푸는데 거의 2시간 걸렸다.