Memory Forensic #20 (GrrCON 2015 #20)
이전 문제에서 공격자가 압축 파일을 생성한 것을 확인했다면, 이번 문제는 이 압축 파일에 대해 압축된 파일들이 무엇인지 찾는 문제입니다.
이때 분석할 파일은 conhost.exe 파일입니다.
conhost.exe : 윈도우 콘솔에서 실행한 명령어, 입출력 결과 등의 정보를 보관
따라서 rar 파일이 생성됐을 때, 안에 담겨져 있는 파일의 정보 또한 conhost.exe 파일에 기록되어 있을 것입니다.
volatility를 실행한 다음, cmdscan 플러그인을 사용하여 공격자가 명령어를 입력했을 당시 사용된 conhost.exe의 PID를 확인하였습니다.
공격자가 입력한 명령어에 관련된 정보를 기록하는 conhost.exe의 PID는 3048로 확인됩니다.
이제 해당 프로세스를 memdump 플러그인을 사용하여 파일을 복구합니다.
프로세스 파일을 복구되면, 문자열 분석을 위해 strings 프로그램을 사용합니다.
실행 시에 문자열이 한 번에 확인하기 힘들 정도의 많은 양이기에 별도의 파일로 내용을 입력받도록 합니다.
텍스트 파일로 변환시켰으므로 Sublime Text3로 문자열을 확인하였습니다.
rar 파일과 관련된 정보를 확인해야 하므로 rar을 검색하여 정보를 확인하였습니다.
차례대로 포맷에 맞게 txt 파일 이름과 확장자를 플래그로 입력하면 문제를 해결할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #22 (0) | 2020.02.24 |
|---|---|
| [Memory Forensic] GrrCON 2015 #21 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #19 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #18 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #17 (0) | 2020.02.24 |