문제 파일 : File.7z
사용한 Tool : TrueCrypt.exe (v7.2), volatility-2.4.standalone.exe,
Passware Kit Forensic 10.1.exe, WinHex.exe, AccessData FTK Imager 4.1.1.1.exe
문제 : '본 메모리 덤프를 통하여 숨겨진 password와 파일안에 숨겨진 Flag를 찾아라'
File.7z을 풀게 되면 두개의 파일이 있다.
일단 volatility를 사용하여 truecrypt의 password부터 알아보자.
> volatility-2.4.standalone.exe -h
truecrypt에 관한 명령어는 3가지가 있는데,
truecrytmaster Recover - Master Key file 추출
truecrytpassphrase - 패스구문 finder
truecrytptsummary - 요약
> volatility-2.4.standalone.exe -f sample.raw imageinfo
> volatility-2.4.standalone.exe -f sample.raw --profile=Win7SP1x86 truecryptmaster -D.
암호화 알고리즘과 모드 그리고 마스터키를 알수있다.
그리고 명령어를 실행하고 나면 마스터키 주소 첫 부분으로된 파일이 한개 생긴다.
> volatility-2.4.standalone.exe -f sample.raw --profile=Win7SP1x86 truecrytpassphrase
원하던 truecrypt password가 보인다.
> volatility-2.4.standalone.exe -f sample.raw --profile=Win7SP1x86 truecrytptsummary
버전이랑 password 등 truecrypt의 전반적인 내용이 다 담겨있다.
구했던 password를 입력을 해서 마운트를 시켜본다.
안에 들어가서 보게되면 Flag!.txt라는 파일이보이고 열게되면 원하던 flag값 까지 얻을수 있다.
※ 그리고 master key 만으로도 마운트가 가능한 버전도 있다.
Answer : Cr35cend0!#@_!@#$_Good_J0B
----------------------------------------------------------------------------------------------------
*password를 찾지않고 암호화된 truecrypt파일을 풀수있는 tool인 Passware Kit Forensic 10.1.exe도 있다.*
첫화면에 Recover Hard Disk Passwords에 들어간다.
TrueCrypt 클릭
Encrypted TrueCrypt volume image file에는 flag_file.tc 파일을 넣고
Physical memory image file에는 sample.raw 파일을 넣는다.
password가 열렸다는 말과 AES로 암호화가 되어있었다는 말이있다.
WinHex로 열어서 보게되면 암호화가 풀린게 보인다.
암호화가 풀렸다고 해서 truecrypt로 마운트 시키지는 못하고 FTK Imager를 사용하여 본다.
'WarGame > Forensic' 카테고리의 다른 글
| [Crescendo] File Delete Problem 02 (0) | 2017.08.31 |
|---|---|
| [Crescendo] File Delete Problem 01 (0) | 2017.08.31 |
| [Crescendo] Stego Problem 01 (0) | 2017.08.25 |
| [Crescendo] NTFS Log 1 (0) | 2017.08.23 |
| [Crescendo] 오늘은 국군의날 (0) | 2017.08.19 |
