728x90
반응형
공격자가 nbtscan.exe의 결과를 nbt.txt에 저장했다고 했으므로 nbt.txt를 복구해 보겠습니다.
파일을 덤프하기 위하여 nbt.txt의 오프셋 값을 filescan 플러그인으로 찾아보겠습니다.
nbs.txt의 오프셋을 구하였습니다. 이제 dumpfiles 플러그인과 -Q 옵션으로 파일을 복구해 보겠습니다.
현재 디렉토리에 파일을 복구해주고, 이를 텍스트 에디터로 열어줍니다.
이렇게 첫 번째 컴퓨터의 IP 주소를 구할 수 있습니다.
728x90
반응형
'디지털포렌식 with CTF > 메모리 포렌식 (Memory)' 카테고리의 다른 글
| [메모리 포렌식] GrrCON 2015 #15 (0) | 2020.11.03 |
|---|---|
| [메모리 포렌식] GrrCON 2015 #14 (0) | 2020.11.03 |
| [메모리 포렌식] GrrCON 2015 #12 (0) | 2020.11.03 |
| [메모리 포렌식] GrrCON 2015 #11 (0) | 2020.11.02 |
| [메모리 포렌식] GrrCON 2015 #10 (0) | 2020.11.02 |
