Memory Forensic #8 GrrCON 2015 #8
이번 문제는 매우 상세한 분석이 필요한 문제입니다.
시스템에 악명 높은 해커의 정보가 존재한다고 하며, 해커가 나오는 영화의 이름을 찾는 문제입니다.
여러 플러그인으로 분석하던 중에 MFT와 관련된 정보를 통해 문제를 해결할 수 있었습니다.
MFT : NTFS 파일 시스템에서 가장 중요한 역할을 맡고 있으며, NTFS 볼륨상의 모든 파일에 대하여 적어도 한 개 이상의 엔트리를 가지고 있으며, 파일 크기나 사용 권한, 데이터 내용 등 파일에 관한 메타데이터 정보는 MFT에 저장되어 관리되고 있습니다.
volatility 도구에는 MFT에 관한 플러그인으로 mftparser는 MFT를 분석할 수 있는 플러그인으로 사용됩니다.
결과가 매우 방대한 양이기 때문에, 텍스트 파일로 따로 저장해서 분석하였습니다.
그리고 사용자 이름 (해커)에 관한 정보는 User 부분에 있을 것으로 예상하여 User를 검색하여 계속해서 분석을 진행하였습니다.
분석하던 도중, 이상한 이름을 발견해서 확인해보았습니다.
확인 된 Users의 이름으로는 ADMINI~1, FRONTD~1 등 딱히 이상하지 않은 이름들이었지만, zerocool이라는 이름은 누군가의 이름으로 보여 구글링을 통해 검색하였습니다.
검색해본 결과, Hackers라는 영화에 나오는 해커의 닉네임을 확인하였습니다.
따라서 영화 제목을 확인하였으므로 플래그로 입력하면 문제를 해결할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #10 (0) | 2020.02.09 |
|---|---|
| [Memory Forensic] GrrCON 2015 #9 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #7 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #6 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #5 (0) | 2020.02.09 |