Memory Forensic #11 GrrCON 2015 #11
이전 문제에서 3가지의 도구에서 1개가 비밀번호를 평문으로 전송했을 것이라고 생각해볼 수 있으며, 3개의 파일은 nbtscan.exe, rar.exe, wce.exe 파일입니다.
각 도구들은 다른 기능을 가지고 있으며, 이 중에서 지문과 매우 근접한 파일은 wce.exe라는 파일입니다.
wce.exe 파일은 윈도우 계정 비밀번호 해시 정보와 문자열 정보를 추출하여 보여주는 도구입니다.
도구 기능상 평문 암호를 덤프하는데 사용한 파일은 바로 wce.exe 파일인 것 같습니다.
wce.exe을 실행하였다면 cmd 창을 통해 해당 파일과 관련된 명령어를 입력하였을 가능성이 매우 높으므로, volatility도구에서 지원하는 cmdscan 플러그인을 통하여 윈도우 콘솔 창에서 입력한 명령어를 출력할 수 있습니다.
분석 결과를 확인해보면, cmd #4 부분에 wce.exe 실행 결과를 w.tmp라는 파일로 저장한 흔적을 확인할 수 있으며 w.tmp 파일을 확인해보면 wce.exe 파일 결과를 확인할 수 있습니다.
w.tmp 파일 복구를 위해 filescan 플러그인을 사용하여 파일 오프셋 값을 확인하였습니다.
w.tmp 파일 오프셋 값을 확인한 다음, 이제 마지막으로 dumpfiles 플러그인을 사용하여 파일을 복구시켰습니다.
파일 복구가 완료되었으니 sublime text를 통해 분석하였습니다.
파일 내용을 확인한 결과, 관리자 계정으로 된 비밀번호를 확인하여 문제를 해결할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #13 (0) | 2020.02.24 |
|---|---|
| [Memory Forensic] GrrCON 2015 #12 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #10 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #9 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #8 (0) | 2020.02.09 |