2015 Christmas CTF [FORENSIC] 100 do you want to~

포렌식에 대한 기본지식이 없어 나온 Write up을 참조하여 풀이 하였다.

운영자가 준 압축 파일을 열면 for.mp4, mem.raw 파일이 있다.

for.mp4 파일 안에는 .7z 파일이 숨겨 져 있고 .7z 파일을 추출하고 압축을 풀려고 하면 암호가 걸려 있는 것을 확인 할 수 있다.

암호를 알아내기 위해서 mem.raw를 volatility로 분석.

( volatility는 칼리 리눅스에 깔려 있는 것을 사용했다. )

 

1. python vol.py -f ./../../volatility/mem.raw imageinfo

- 운영체제 정보를 확인 : WinXPSP2x86

2. python vol.py -f ./../../volatility/mem.raw pstree

- 실행 중인 프로세스 확인 : HwpViewer.exe를 볼 수 있다.

3. python vol.py -f ./../../volatility/mem.raw -p 2500 handles | grep hwp

- 이 프로세스에서 열고 있는 핸들 중 hwp가 들어 간 것을 확인 : \Device\HarddiskVolume1\Documents and Settings\Administrator\My Documents\????\maybe_second.hwp

4. python vol.py -f ./../../volatility/mem.raw filescan | grep hwp

- 메모리 덤프 파일 내에 hwp 파일을 확인

0x01f5b9d0      1      0 R--rwd \Device\HarddiskVolume1\Documents and Settings\Administrator\My Documents\????\JINGLEJINGLE.hwp

0x0210ae88      1      1 R--rw- \Device\HarddiskVolume1\Documents and Settings\Administrator\My Documents\????\maybe_second.hwp

0x023e6ea8      2      0 R--rwd \Device\HarddiskVolume1\Documents and Settings\Administrator\My Documents\????\maybe_second.hwp

0x0244e450      1      0 RW-rw- \Device\HarddiskVolume1\Documents and Settings\Administrator\Application Data\HNC\Office\Recent\maybe_second.hwp.lnk

5. python vol.py -f ./../../volatility/mem.raw dumpfiles -Q 0x023e6ea8 -D ./dump

- offset을 줘서 파일을 dump

Volatility Foundation Volatility Framework 2.3.1

DataSectionObject 0x023e6ea8   None   \Device\HarddiskVolume1\Documents and Settings\Administrator\My Documents\????\maybe_second.hwp

SharedCacheMap 0x023e6ea8   None   \Device\HarddiskVolume1\Documents and Settings\Administrator\My Documents\????\maybe_second.hwp

6. 한글 파일을 열어보면 base64로 인코딩 된 값이 있고, 그 값이 .7z 파일을 푸는 비밀번호.

.7z 파일 안에 있는 사진을 확인하면 플레그 획득.