포렌식에 대한 기본지식이 없어 나온 Write up을 참조하여 풀이 하였다.
운영자가 준 압축 파일을 열면 for.mp4, mem.raw 파일이 있다.
for.mp4 파일 안에는 .7z 파일이 숨겨 져 있고 .7z 파일을 추출하고 압축을 풀려고 하면 암호가 걸려 있는 것을 확인 할 수 있다.
암호를 알아내기 위해서 mem.raw를 volatility로 분석.
( volatility는 칼리 리눅스에 깔려 있는 것을 사용했다. )
1. python vol.py -f ./../../volatility/mem.raw imageinfo
- 운영체제 정보를 확인 : WinXPSP2x86
2. python vol.py -f ./../../volatility/mem.raw pstree
- 실행 중인 프로세스 확인 : HwpViewer.exe를 볼 수 있다.
3. python vol.py -f ./../../volatility/mem.raw -p 2500 handles | grep hwp
- 이 프로세스에서 열고 있는 핸들 중 hwp가 들어 간 것을 확인 : \Device\HarddiskVolume1\Documents and Settings\Administrator\My Documents\????\maybe_second.hwp
4. python vol.py -f ./../../volatility/mem.raw filescan | grep hwp
- 메모리 덤프 파일 내에 hwp 파일을 확인
0x01f5b9d0 1 0 R--rwd \Device\HarddiskVolume1\Documents and Settings\Administrator\My Documents\????\JINGLEJINGLE.hwp
0x0210ae88 1 1 R--rw- \Device\HarddiskVolume1\Documents and Settings\Administrator\My Documents\????\maybe_second.hwp
0x023e6ea8 2 0 R--rwd \Device\HarddiskVolume1\Documents and Settings\Administrator\My Documents\????\maybe_second.hwp
0x0244e450 1 0 RW-rw- \Device\HarddiskVolume1\Documents and Settings\Administrator\Application Data\HNC\Office\Recent\maybe_second.hwp.lnk
5. python vol.py -f ./../../volatility/mem.raw dumpfiles -Q 0x023e6ea8 -D ./dump
- offset을 줘서 파일을 dump
Volatility Foundation Volatility Framework 2.3.1
DataSectionObject 0x023e6ea8 None \Device\HarddiskVolume1\Documents and Settings\Administrator\My Documents\????\maybe_second.hwp
SharedCacheMap 0x023e6ea8 None \Device\HarddiskVolume1\Documents and Settings\Administrator\My Documents\????\maybe_second.hwp
'CTF' 카테고리의 다른 글
DEFCON 2016 xkcd (0) | 2016.05.26 |
---|---|
2016 PCTF tonneree 200점 (0) | 2016.04.21 |
2016 codegate watermellon exploit only (0) | 2016.03.15 |
2016 codegate JS_IS_NOT_A_JAIL exploit only (0) | 2016.03.15 |
2015 CSAW CTF precision 100 exonly (0) | 2015.09.19 |