Memory Forensic #12 GrrCON 2015 #13
문제를 보면 nbs.txt라는 파일에 nbtscan.exe 파일의 출력 내용을 저장했다고 합니다.
따라서 nbs.txt 파일을 복구하여야 합니다.
파일 복구를 위해 volatility를 실행한 다음, filescan 플러그인을 사용하여 nbs.txt 오프셋 값을 확인하였습니다.
0x000000003fdb7808이 바로 오프셋 값입니다.
이제 dumpfiles 플러그인으로 해당 파일을 복구합니다.
파일이 정상적으로 복구되었습니다.
복구한 파일의 내용을 확인하기 위해 HxD를 통해 문자열을 확인하였습니다.
내용을 확인해보면 nbtscan.exe 파일의 실행 결과를 확인할 수 있습니다.
그리고 첫 번째 줄에서 지문에서 제시한 IP 주소를 확인할 수 있으며, 문제를 해결할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #15 (0) | 2020.02.24 |
|---|---|
| [Memory Forensic] GrrCON 2015 #14 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #12 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #11 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #10 (0) | 2020.02.09 |