728x90
반응형
#10 문제에서 공격자가 옮긴 도구 중 한 가지로 데이터를 전송했을 것입니다.
nbtscan, rar, wce 중 wce.exe는 윈도우 계정의 비밀번호 해시 정보와 문자열 정보를 추출해 보여주는 도구입니다.
도구의 특징 상 wce.exe 실행프로그램을 사용한 것으로 추측할 수 있습니다.
volatility의 cmdscan 명령어를 통하여 어떠한 명령어들이 입력되었는지 살펴보겠습니다.
실행 결과를 보면 wce.exe 프로그램의 결과를 w.tmp 파일에 저장하였습니다.
w.tmp 파일을 복구하기 위하여 먼저 filescan 플러그인과 findstr 플러그인으로 파일의 오프셋 값을 찾아보겠습니다.
Temp 폴더에 저장된 w.tmp 파일이 나옵니다. 이제 dumpfiles 플러그인과 -Q 옵션을 사용하여 파일을 덤프해보겠습니다.
-D 옵션으로 파일이 저장될 디렉토리는 현재 디렉토리 (./)으로 설정해 주었습니다.
덤프된 파일을 텍스트 에디터로 열면, 위와 같이 password를 얻을 수 있습니다. (flagadmin@1234)
728x90
반응형
'디지털포렌식 with CTF > 메모리 포렌식 (Memory)' 카테고리의 다른 글
| [메모리 포렌식] GrrCON 2015 #13 (0) | 2020.11.03 |
|---|---|
| [메모리 포렌식] GrrCON 2015 #12 (0) | 2020.11.03 |
| [메모리 포렌식] GrrCON 2015 #10 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #9 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #8 (0) | 2020.11.02 |
