[DigitalForensic with CTF] GrrCON 2015 #1(1)

이번 문제에서는 의심스러운 이메일을 알아내야 하는 듯하다. 문제화면에서 주어진 vmss(일시정지된 가상머신) 파일을 받은 뒤 Ubuntu 16으로 옮겨서 분석을 시도했다.

 

우선 imageinfo로 메모리의 정보를 살펴보고, 이후 표시된 문자열을 프로파일로 하여 분석해보도록 하자.

 

(습관적으로 PID와 PPID를 서로 짜맞춘다...)pstree 명령어를 통해 프로세스들을 트리 형태로 보기 쉽게 출력을 한 뒤, 의심되는 것을 찾아보았다. 살펴보던 중 이번 문제에서 제시된 '이메일'이라는 키워드가 생각이 났는데, 생각해보니 이메일을 주고 받을 수 있는 프로그램 중에 MS Outlook이 있었지 않았나라는 게 생각이 났다. (만약 MS 관련 프로그램을 모르면 문제를 풀지 못하는 것인가..)

 

덤프를 뜨기 위해 OUTLOOK.EXE의 프로세스 ID(PID)를 memdump 명령어에 포함시켜 실행했고, 잠시 뒤 dmp파일이 하나 생성된 것을 확인했다.

 

이후 읽을 수 있도록 strings 명령어를 통해 txt파일로 변환하였다.

 

VMware에서 벗어나 호스트로 나온 뒤, notepad++로 txt로 변환된 파일을 열어보았는데 밑에 표시된 것처럼 양이 너무 방대해서 일일이 읽기엔 무리라고 생각이 들어서

 

찾기 기능으로 이메일 형식을 검색하고자 했다. 처음엔 네이버 이메일로 된 주소가 있는지 살펴보았는데, 아무것도 나오지 않았고,

 

대신 지메일로 된 이메일 주소를 검색했는데, 일치하는 것이 6개가 나왔다. 몇 개 안 되니 이를 모두 살펴보자.

 

문제에서 '업데이트', '이메일'이라는 키워드가 있었는데, 위의 내용을 대충 보아하니 VPN Client를 업데이트하라는 내용의 이메일 흔적이 있었다. 해당 이메일은 45367번째 줄의 이메일 주소로부터 발송된 것으로 확인이 되었고,

 

해당 이메일 주소를 flag로 제출하였더니 정답이었다.