먼저 이 문제를 풀 도구로 Volatility를 사용하기로 했다.
먼저 imageinfo로 확인해주자
Win7SP1x86임을 확인했다.
이제 먼저 1번 답인 김장군 PC의 IP 주소를 알아내기 위해 netscan으로 알아보자
열면 이렇게 많은 내용들이 나오는데 밑으로 내려보면
김장군 PC의 IP 주소는 192.168.197.138임을 알 수 있다.
이제 2번 답을 알아보자
해커가 열람한 기밀 문서의 파일 명을 알아봐야 하는데
해커가 실행한 프로세스를 확인하기 위해 pstree를 이용해서 알아보자
초반에 cmd가 켜지고 notepad가 열린 것을 확인할 수 있는데
음.. 일단
볼라틸리티에 cmdscan 이라고 cmd에 내린 명령을 확인할 수 있는 플러그인이 있으니까 한번 해보자
그러면 누가봐도 의심되는 파일 명인 SecreetDocumen7.txt를 확인할 수 있다. 아마 이게 2번 답인듯 싶다.
3번은 아무래도 아까 확인한 SecreetDocumen7.txt를 복구해야 알 수 있는데,
그러기 위해서 R-STUDIO 툴을 사용하기로 했다. 디스크 복구 소프트웨어 및 하드 드라이브 복구 도구로 유료 도구이지만 데모 버전도 있어서 일단 깔아보았다.
처음에는 어떻게 문제파일을 열어야 하는지 몰라서 내 PC에 있는 문제파일로 가보았지만 열어볼 수 없었다.
근데 이미지 파일 불러오는 곳에 옵션을 모든 파일로 하니까 파일이 떠서 불러올 수 있었다.
아까 확인했던 SecreetDocumen7.txt 파일의 경로를 따라가보면 텍스트 파일을 확인할 수 있다.
그냥 더블클릭하면 3번의 키를 확인할 수 있었다.
인증키 형식이 lowercase(MD5(1번답+2번답+3번키))이므로 차근차근 넣고 MD5로 바꿔주면
성공!
'Forensics > Wargame' 카테고리의 다른 글
[ctf-d] A회사 보안 팀은 내부직원 ... (0) | 2021.04.02 |
---|---|
[HackCTF] So easy? (0) | 2021.04.01 |
one_data_one_zip (0) | 2020.11.24 |
[N0Named wargame] [B] 유출된 자료 거래 사건[4] (0) | 2020.11.17 |
[N0Named wargame] [B] 유출된 자료 거래 사건[2] (0) | 2020.11.17 |
댓글