MemLabs Lab 4 - Obsession

문제 설명

 

최근 제 시스템이 해킹당했습니다. 해커가 많은 정보를 훔쳐갔을 뿐만 아니라 제 아주 중요한 파일도 삭제했습니다. 복구 방법을 전혀 모르겠습니다. 현재로서는 이 메모리 덤프 파일만이 유일한 증거입니다. 제발 도와주세요.

참고사항 : 이 챌린지는 1개의 플래그로만 구성됩니다.

이 랩의 플래그 형식은 다음과 같습니다. inctf{s0me_l33t_Str1ng}

 

메모리 덤프 파일의 운영체제를 확인하였습니다.

python vol.py -f MemoryDump_Lab4.raw imageinfo

 

pslist 플러그인을 이용하여 프로세스를 먼저 확인한 결과 StikyNote.exe 프로그램이 수상해 보입니다.

python vol.py -f MemoryDump_Lab4.raw --profile Win7SP1x64 pslist

 

filescan 플러그인을 사용했는 데 내용이 너무 많이 출력되는 것을 알 수 있습니다.

python vol.py -f MemoryDump_Lab4.raw --profile Win7SP1x64 filescan

 

문제를 보면 아주 중요한 파일이 삭제되었다는 것을 알 수 있기 때문에 Important만을 출력해 보았습니다. 

python vol.py -f MemoryDump_Lab4.raw --profile Win7SP1x64 filescan | findstr Important

 

dumpfiles 플러그인을 이용하여 Important.txt 파일을 추출하였지만 dump 폴더에 아무것도 발견되지 않았습니다.

python vol.py -f MemoryDump_Lab4.raw --profile Win7SP1x64 dumpfiles -Q 0x000000003fc398d0 -D dump

 

 

mftparser 플러그인을 이용하면 마스터 파일 테이블(MFT) 항목을 검색하고 내용 분석할 수 있습니다.

python vol.py -f MemoryDump_Lab4.raw --profile Win7SP1x64 mftparser > mftparser.txt

 

Important.txt 내용을 보면 플래그 값 inctf{1_is_n0t_EQu4l_7o_2_bUt_th1s_d0s3nt_m4ke_s3ns3} 알 수 있습니다.