[SuNiNaTaS] 30번 문제풀이
준비물
MemoryDump(SuNiNaTaS), volatility
https://www.volatilityfoundation.org/
The Volatility Foundation - Open Source Memory Forensics
The Volatility Foundation is an independent 501(c) (3) non-profit organization that maintains and promotes The Volatility memory forensics framework.
www.volatilityfoundation.org
문제소개
문제풀이
써나나타즈 30번은 메모리 포렌식이 주제이다.
1, 2, 3번 과제를 해결하고 인증키를 해쉬값 변환한 후, 소문자로 바꾸어 입력해야 하는 문제이다.
첫 번째 과제
우선 첫 번째 과제는 김장군 PC의 IP 주소를 알아내는 것이다.
IP주소는 volatility 툴에서 netscan 플러그인을 사용하면 알아낼 수 있다.
netscan 플러그인은 연결된 네트워크나 소켓을 확인하는 플러그인이다.
volatility는 imageinfo부터 시작해야 플러그인을 사용할 수 있다.
V~.exe -f MEM.DMP imageinfo 를 입력해서 운영체제의 정보를 알아내보자.
운영체제의 정보를 알고, 덤프가 씌워진 파일을 알고 있으니 netscan을 사용하면 될 것이다.
알아낸 운영체제의 정보를 -profile 옵션에 넣어주고 플러그인을 사용하면 된다.
volatility_2.6_win64_standalone.exe -f MemoryDump(SuNiNaTaS) --profile=Win7SP1x86 netscan
이렇게 사용해 주었다.
위 화면을 보면 IP주소는 192.168.197.138 인 것을 알 수 있다.
두 번째 과제
두 번째 과제는 해커가 열람한 기밀문서의 파일이름을 알아내는 것이다.
우선 해당 메모리 안에 어떤 파일이 있는지 알아보기 위해 pstree 플러그인을 사용해보자.
pstree를 사용하면 문서가 실행된 프로세스를 알 수 있기 때문에 어떤 파일이 존재하는 지 알 수 있다.
pstree 플러그인을 입력한 리스트를 쭉 찾아보면, 기밀'문서'라고 할만한 것이 메모장밖에 없었다.
그럼 김장군씨가 어떤 내용을 작성하여 저장했는지 알아보아야 할 것이다.
cmd에 입력한 명령어의 기록을 확인하기 위해서는 cmdscan을 사용하면 된다.
위 화면을 보면 기밀문서의 파일명은 SecreetDocumen7.txt 이다.
세 번째 과제
세 번째 과제는 위에서 찾았던 기밀문서를 열어보는 것이다.
우선 기밀문서가 메모리의 어떤 위치에 있는지 알아보기 위해 filescan 플러그인을 사용해보자.
filescan에서 찾아낸 파일의 주소는 0x000000003df2ddd8이다.
(이 후에 알아낸 것은 레퍼런스에 달아놓은 블로그를 참조했다.)
그렇게 알아낸 파일을 dumpfiles 플러그인을 통해서 복구해보자.
dumpfiles는 파일을 추출하는 플러그인이다.
(-Q, -D, ./의 의미를 알고싶으면 레퍼런스에 있는 블로그를 참조하길 바람!)
그러면 옮겨놓은 파일을 txt 파일 형식으로 열면 아래와 같이 나온다.
이렇게 얻은 세 개의 열쇠를 MD5 해쉬로 변환해서 입력하면 끝이다.
https://www.convertstring.com/ko/Hash/MD5
MD5 해시 - 온라인 MD5 해시 생성기
www.convertstring.com
레퍼런스
https://bgm2020.tistory.com/53
[포렌식] SuNiNaTaS 30번 문제 풀이 | volatility 사용
포렌식 교육 6주차 문제에 해당하는 포렌식 분야의 문제인 SuNiNatas 30번 문제 풀이입니다. 해당 문제는 메모리 덤프 파일을 분석하는 문제로 volatility라는 툴의 도움을 받아서 풀 수 있습니다. 필
bgm2020.tistory.com