10번 문제는 공격자가 프런트 데스크 PC를 손상시키기 위해 옮긴 프로그램(혹은 툴) 3가지를 찾아야 한다.
이를 알아보기 위해 악성 프로그램 이용을 위해 사용된 프로세스인 iexplore.exe를 dump해보자. 이전에 이미 pstree를 통해 다뤘기에 자세한 건 생략하겠다. 참고로 2996은 iexplore.exe의 PID이다. memdump 명령을 실행 후 2996.dmp를 읽을 수 있는 형태인 2996.txt로 변환하자.
2996.txt를 호스트 pc에서 notepad++로 천천히 잠시 동안 살펴보았는데, 내용 중간중간에 frontdesk가 나오는 것을 볼 수 있었다. 문제에서 '프런트 데스크'라는 말이 있었는데, 이와 연관되는 것 같아서 검색 내용을 'frontdesk'로 바꾼 뒤 찾기를 계속 하였다.
위 부분의 내용을 보던 중 exe형식의 파일이 4개가 보였고, g로 시작하는 프로그램이 빨간 밑줄의 getlsasrvaddr.exe를 의미하는 것 같다고 생각했다. 이후 나머지 exe 파일이 답일 것이라는 직감이 들었다.
위는 방금 언급한 3개의 프로그램들을 검색한 결과이다. getlsasrvaddr.exe를 제외시킨 것이 wce.exe와 비슷한 범주에 묶여서 제외를 시키지 않았나라는 생각이 들었다.
format에 맞게 알파벳 순으로 3개의 프로그램을 입력해 flag로 제출하면 정답이다.
'Digital Forensic > 디지털포렌식 with CTF' 카테고리의 다른 글
| [DigitalForensic with CTF] GrrCON 2015 #12(12) (0) | 2021.12.13 |
|---|---|
| [DigitalForensic with CTF] GrrCON 2015 #11(11) (0) | 2021.12.13 |
| [DigitalForensic with CTF] GrrCON 2015 #9(9) (0) | 2021.12.09 |
| [DigitalForensic with CTF] GrrCON 2015 #7(7) (0) | 2021.12.07 |
| [DigitalForensic with CTF] GrrCON 2015 #6(6) (0) | 2021.12.06 |
