[DEFCON DFIR CTF 2019] Memory Forensics

triage.mem의 sha1 hash  값은?

그림 1-1 volatility

그림 1-2 fciv.exe

Flag : flag<c95e8cc8c946f95a109ea8e47a6800de10a27abd>

이 머신의 운영체제 버전은 몇인가?

그림 1-2 profile

 

그림 1-3 imageinfo

Flag : flag<Win7SP1x64>

 

notepad.exe의 프로세스 ID가 무엇인가?

그림 1-4 write this down

그림 1-5 pstree

Flag : flag<3032>

 

wscript.exe의 하위 프로세스의 이름을 지정하십시오.

그림 1-6 wscript

그림 1-7 pstree

Flag: flag<UWKpjFjDzM.exe>

 

RAM 덤프가 생성되었을 때 시스템의 IP 주소는?

그림 1-8 tcpip settings

그림 1-9 netscan

Flag : flag<10.0.0.101>

 

감염된 PID에 대한 답변을 토대로 공격자의 IP가 무엇인지 확인할 수 있는가?

그림 1-10 intel

그림 1-11 psxivew

그림 1-12 netscan

Flag : flag<10.0.0.106>

 

VCRUNTIME140.dll 파일과 연결되어 있는 프로세스의 이름은 무엇입니까? 

그림 1-13 windows dependencies

그림 1-14 dlllist

Flag : flag<OfficeClickToR>

시스템에서 잠재적인 멀웨어의 md5 해시값은 무엇인가?

그림 1-15 mal-ware-are-you

그림 1-16 procdump

그림 1-17 executable.3496.exe

Bobs 계정의 LM 해시값은?

그림 1-18 lm-get bobs hash

그림 1-19 hivelist

그림 1-20 hashdump

Flag : flag<aad3b435b51404eeaad3b435b51404ee>

 

0xfffffa800577ba10의 VAD 노드에는 어떤 보호 기능이 있는가?

VAD는 페이지 폴트 발생 시 메모리 관리자는 프로세스 주소 공간에서 어떤 가상 주소가 예약되어 있는지 여부를 추적할 수 있게 관리하는 데이터 구조체 집합

그림 1-21 vad the impaler

그림 1-22 VAD

Flag : flag<PAGE_READONLY>

 

VAD는 0x00000000033c0000에서 시작하여 0x00000000033dff로 끝나는 보호 기능은 무엇인가?

그림 1-23 more vads

그림 1-24 VAD

Flag : flag<PAGE_NOACCESS>

 

시스템에서 VBS 스크립트가 실행되고 있다. 스크립트의 이름은?

그림 1-25 vacation bible school

그림 1-26 cmdline

Flag : flag<vhjReUDEuumrX>

 

2019-03-07 23:06:58 UTC에서 응용 프로그램이 실행되었는데, 프로그램의 이름은 무엇인가? 

그림 1-27 thx microsoft

그림 1-28 schimcache

Flag : flag<Skype.exe>

 

메모리 덤프 당시에 notepad.exe로 작성된것은 무엇입니까?

그림 1-29 lightbulb moment

그림 1-30 memdump

그림 1-31 3032.txt

그림 1-32 flag

Flag : flag<REDBULL_IS_LIFE>

그림 1-33 8675309

그림 1-34 mftparser

Flag: flag<EMPLOY~1.XLS>

 

이 박스는 메타스플로잇 되었고 미터프리터를 실행 중입니다. 무슨 PID가 감염되었는가

그림 1-35 meterpreter

Flag : flag<3496>