Information Security

문제 설명악성 스크립트가 제 시스템에 저장된 매우 비밀스러운 정보를 암호화했습니다. 정보를 복구해 주시겠습니까?참고사항-1 : 이 챌린지는 깃발 1개로만 구성되어 있습니다. 깃발은 2개로 나뉩니다.참고사항-2 : 두 번째 깃발을 얻으려면 첫 번째 깃발이 필요합니다.이 과제를 해결하려면 이 추가 도구가 필요합니다.$ sudo apt install steghide이 랩의 플래그 형식은 다음과 같습니다. inctf{s0me_l33t_Str1ng} 메모리 덤프파일의 운영체제 버전을 확인하였습니다.python vol.py -f MemoryDump_Lab3.raw imageinfo cmdline 플러그인을 이용하여 명령줄을 확인해 보았습니다.python vol.py -f MemoryDump_Lab3.raw --pr..

볼라틸리티 플러그인 windows.psscan를 이용하여 살아있는 프로세스를 확인하려고 했다. 수집한 psscan에서 explor3r.exe 수상한 프로세스를 확인할 수 있습니다. windows.filescan 플러그인 결과에서 explor3r.exe.img 파일을 추출하였다. strings를 이용하여 해당 파일의 문자열 추출하였다. 문자열을 보면, 바탕화면에 있는 .pdf 파일을 찾아 삭제하는 것을 알 수 있다. 해당 악성 프로세스가 종료된 시간이 UTC 시간이므로 한국 시간으로 변경 후 입력하여 UNIX Timestamp 확인하였다. HashCalc 도구를 이용하여 MD5 해시 값을 확인하였다.