문제 파일 : MemoryDump(SuNiNaTaS)
사용한 Tool : vol.exe, R-studio.exe
문제 : "Military"
volatility를 사용해서 메모리파일을 분석한다. (imageinfo는 이미지 정보를 식별한다.)
<vol-imageinfo>
< 첫번째 질문 >
1. 김장군 PC의 IP 주소는?
profile을 Win7SP1x86으로 설정해주고 netscan 명령어를 실행시킨다.(netscan은 활성화 상태의 Network 연결정보를 보여주는데,
Windows Vista와 7 그리고 Windows 2008 Server에서만 사용이 가능하다.)
여기서 Local Address인 김장군 PC IP주소를 확인할수 있다.
<vol-netscan>
Answer : 192.168.197.138
< 두번째 질문 >
2. 해커가 열람한 기밀문서의 파일명은?
열람했다니 일단은 프로세스를 먼저 확인을 해본다. (psxview는 은폐되어 있는 Process 정보를 획득할수 있다.)
notepad가 프로세스에 있는게 보이는데, pstree를 실행해서 한번더 확인해본다.
<vol-psxview>
pstree로 확인하니 cmd 하위 프로세스에 notepad.exe가 있는게 보인다. cmd로 notepad를
작성을 한거 같으니 cmd로 무슨 명령어를 실행시켰는지 확인을 해본다.(pstree는 pslist와 유사한 정보를 보여주나,
parent와 Child Process 간의 상관 관계를 나열한다.)
<vol-pstree>
cmdscan으로 확인해보니 SecreetDocumen7.txt 를 작성했다. (cmdscan은 COMMAND_HISTORY를
검색하여 명령기록을 추출한다.)
<vol-cmdscan>
Answer : SecreetDocumen7.txt
< 세번째 질문 >
3. 기밀문서의 주요 내용은? 내용속에 "Key"가 있다.
기밀문서의 내용을 봐야하는데 데이터 복구툴인 R-studio를 사용했다. 메모리파일을 넣고 scan을
돌린다음 파일경로를 따라들어가보면 기밀문서 파일이 존재하는게 확인가능하다.
<R-Studio>
<SecreetDocumen7.txt>
Answer : 4rmy_4irforce_N4vy
MD5(192.168.197.138SecreetDocumen7.txt4rmy_4irforce_N4vy)
↓
Answer : c152e3fb5a6882563231b00f21a8ed5f
'WarGame > Forensic' 카테고리의 다른 글
| [SuNiNaTaS] Forensic 32 (0) | 2018.02.07 |
|---|---|
| [SuNiNaTaS] Forensic 31 (0) | 2018.02.07 |
| [SuNiNaTaS] Forensic 29 (0) | 2018.01.31 |
| [SuNiNaTaS] Forensic 26 (0) | 2018.01.22 |
| [SuNiNaTaS] Forensic 21 (0) | 2018.01.22 |
