[CTF-d](Multimedia) 플래그를 찾아라! (100)

문제

dump1.raw.lzma를 다운로드하자

 

압축을 풀어보니 dump.raw다.

 

파일의 이름과 확장자가 메모리 덤프 파일이 연상된다.

 

volatility를 이용해 분석해보자

 

윈도우에 volatility가 설치되어 있지 않아 설치되어있는 리눅스로 넘어가자.

 

volatility는 메모리 포렌식에 정말 유용한 툴이다 나중에 따로 정리해보자.

 

sudo vol.py -f dump1.raw imageinfo를 하면 Win10x64가 나온다.

 

해당 파일이 윈도우 10 OS의 메모리 덤프 파일인 것을 알 수 있다.

 

이제 실행 중이던 프로세스 목록을 봐야 하는데 명령어는

pslist가 나온다 많이 나온다

 

여기서 봐야 할 것은 PID값이 4092인 mspaint.exe(그림판)를 봐야 한다.

 

다른 것들 몇 개를 봤을 때 플래그를 찾지 못했다.(다른 것들은 생략)

 

volatility의 memdump 플러그인을 사용해서 프로세스를 덤프 해보자.

 

 

 

2012.dmp 파일이 나오는데 덤프 된 프로세스를 분석하기 위해 확장자를 data로 수정해야 한다.

 

그림판 파일이였으니 GIMP 2 프로그램을 이용해보자

오프셋 4358931 / 너비 1093 / 높이 1253 정도 하니까 잘 보인다.

 

플래그 값이 나왔다.

플래그 값 : CTF{HeRe_GoEs_thE_FLaG}

 

재밌다.