얼마전 Team H4C의 해킹노트 온라인 컨퍼런스 유튜브를 보다가 해킹문제를 만들었다는 소식을 접했다.
일단 포렌식 문제는 무조건 도전하는 나라서 들어가봤다.
몇몇 스테가노 문제들이 보였고 마지막 문제는 용량도 크고 확장자도 달라서 흥미로워보였다.
이것은 어디서 본 듯한... 문구다.
일단 2문제 풀고 얼른 이 문제에 도전해봤다.
파일을 다운로드해주면 2기가에 도달하는 .mp4 확장자의 파일을 하나 볼 수 있을 것이다.
하지만 동영상으로 열리지 않고 HxD로 열어도 동영상 시그니처를 찾아볼 수가 없다.
역시 램을 본다는 것은 R.G.B 값을 구해야하는 것이었따
가 아니라 메모리 포렌식이었다ㅋㅋ
리눅스를 이용하여 Volatility로 자세히 분석해보자.
명령어가 익숙치 않다면 아래 블로그 링크를 참고하자.
Volatility 사용법 : https://lastcard.tistory.com/136?category=683725
imageinfo 를 사용하여 메모리의 프로파일 정보를 확인한다. Win7SP1x64 운영체제 확인.
이제부터 본격적으로 메모리를 분석할 준비가 되었다.
필자는 flag를 쉽게 찾을 수 있었는데 이전에 strings 명령어로 data.mp4 에 대해 flag를 찾아보았다.
결과 중 flag.bmp 라는 파일이 보였고 메모리에 남아있을거란 확신이 들었다.
바로 찾을 수가 있었고 dumpfiles 명령어를 통해 복구할 수가 있었다.
이토록 재미있는 문제들이 많으니 아래 링크로 들어가서 문제들을 풀어보길 추천한다!
앞으로도 많은 업데이트가 된다고 하니 기대해도 될 것 같다...!
https://h4ckingga.me/
H4CKING GAME
h4ckingga.me
'Challenge' 카테고리의 다른 글
| [Memory Forensic] ctf-d Challenge - 플래그를 찾아라! (0) | 2019.10.02 |
|---|---|
| [Steganography] ctf-d Challenge - 제 친구의 개가 바다에서… (0) | 2019.09.29 |
