[suninatas] 30번 풀이

문제 : 해커가 김장군의 PC에 침투했다. 

1. 김장군 PC의 IP주소 2. 해커가 열람한 기밀문서 이름 3. 기밀문서 내용을 알아내라.

 

 

다운로드한 메모리 덤프 파일을 volatility.exe 위치에 옮긴다.

 

 

일단 해커가 김장군의 PC에 침투한 건 사실이다.

사고 직후에 김장군의 PC의 메모리를 덤프했으니 해당 파일을 분석하기 위해 volatility를 이용하자.

IP주소를 확인하기 위해 netscan 명령어를 입력하니 [127.0.0.1], [0.0.0.0], [192.168.197.138] 3개의 ip 주소가 나왔다.

[127.0.0.1]는 localhost고, [0.0.0.0]은 '모든 IP를 의미하므로' 김장군 PC IP주소는 192.168.197.138이다.

명령어

[127.0.0.1], [0.0.0.0]

[192.168.197.138]

 

 

해커가 열람한 기밀문서를 확인하기 위해 filescan 명령어를 쓸까 고민했지만 너무 많은 파일이 나왔다...(omg)

그래서 cmdscan으로 cmd에서 어떤 명령어를 사용했는지 확인했다.

명령어

 

SecreetDocumen7.txt 메모장을 열람한 흔적이 발견된다. 따라서 열람한 파일 이름은 SecreetDocumen7.txt 이다.

 

 

파일 이름을 알아냈으니 dumpfiles 명령어로 메모장을 추출하면 된다.

추출하기 전에 dumpfiles의 옵션으로 필요한 offset을 알아내야 한다. 

filescan 명령어로 SecreetDocumen7.txt 필터를 걸어 파일 목록을 확인한다.

 

 

offset은 0x000000003df2ddd8 이다.

 

 

마지막으로 메모장을 추출하자. 파일 덤프 주소는 현재 주소로 한다.

 

 

dat 파일이 추출되고, 메모장으로 연결하면 Key 값을 알 수 있다.

 

 

인증키 형식은 lowercase(MD5(1번답+2번답+3번키))이므로

MD5 온라인 홈페이지로 계산해서 소문자로 바꿔 authkey에 입력한다.

 

 

끝~

 

---

 

 

ps

 

인증키 형식이 "MD5(1번답+2번답+3번답)"라고 해서

답 사이에 "+"까지 넣고 했더니 정답이 아니여서 

왜 아니지 ㅇ.ㅇ;;;;;;;;;;;;;;;;;;; 뻘탔다 ㅋㅅㅋ;;