prob 24
메모리 덤프를 분석하는 문제이다. 두개의 분할된 7z파일이 주어지고 7z으로 압축을 풀면 130메가 짜리 파일이 나온다.
이 문제에서 이용한 프로그램은 Volatility와 Graphviz다
먼저 Graphviz를 이용하기 위해 psscan옵션을 이용, dot파일을 만든다.
> python vol.py psscan -f xczprob2(덤프파일 경로) --output=dot --output-file=result.dot(결과파일 경로)
그 후에 Graphviz의 GVEdit 프로그램을 이용하여 dot파일을 읽어들인다.
한눈에 보기 쉽게 잘 정리되어 있다. 이 중에 수상한 프로세스를 찾아야 한다.
보면 nc.exe라는 프로그램이 있다. nc는 주로 netcat을 의미하며 공격용으로 많이 이용되기 때문에 이 프로세스가 의심스러웠다.
이제 문제에서 제시된 Process Name은 nc.exe고 PID는 1124가 된다. 이제 Port, 포트번호를 찾을 차례이다.
이번에는 포트번호를 확인하기 위해 sockscan옵션을 이용한다.
> python vol.py sockscan -f xczprob2(덤프파일 경로) --output=dot --output-file=result.text(결과파일 경로)
그러면 전체 프로세스의 포트목록을 확인할 수 있는데 이중에서 nc.exe, PID가 1124인 프로세스의 포트 번호를 보면 80이다.
포트번호까지 구했으므로 이제 시간을 구할 차례이다. 시간은 sockscan으로 구한 시간을 이용하면 된다.
2012-11-02 09:06:48은 문제에 제시된 형식으로 바꾸면 Fri-Nov-02-09:06:48-2012가 된다.
이제 문제에 제시된 형식을 맞추면 아래와 같다
Process Name_PID_Port_Process Execute Time
nc.exe_1124_80_Fri-Nov-02-09:06:48-2012
XCZ.kr Answer : nc.exe_1124_80_Fri-Nov-02-09:06:48-2012
'CTF | wargame' 카테고리의 다른 글
| XCZ.kr / Prob32 (웹,php trick) (0) | 2016.07.22 |
|---|---|
| XCZ.kr / Prob26 (암호, 3자리 암호화) (0) | 2016.07.22 |
| XCZ.kr / Prob23 (기타, qr코드) (0) | 2016.07.22 |
| XCZ.kr / Prob22 (포렌식, 디스크 분석) (0) | 2016.07.22 |
| XCZ.kr / Prob21 (웹, phph소스분석) (0) | 2016.07.22 |