Defcon 2012 ctf forensic 400 썸네일형 리스트형 Defcon 2012 CTF Forensic 400 Write-up 해당 문제의 주제는 메모리에서 key 파일을 찾아 암호를 해독하는 것이 주제이며 목적이다. 일단 문제는 gzip과 tar로 압축되어 있어 압축을 해제하면 메모리 덤프가 하나 나온다. volatility로 스캔하여 보면 해당 메모리 파일을 자동으로 volatility가 파일 타입을 알지 못하여 파일의 프로필을 수동으로 지정해주어야 한다. 메모리 덤프 파일의 정보를 알기 위해서는 volatility의 imageinfo 옵션을 사용하면 된다. [그림 1 - imageinfo] 출력 결과를 보면 지원가능한 Profile은 두개인데, Image Type을 보니 Service Pack 1이므로 Profile은 Win7SP1x86으로 해야 한다. 프로필을 옵션으로 지정하고 프로세스를 출력하여 보면 [그림 2]와 같이.. 더보기 이전 1 다음
