#About
[그림 1] - 문제 파일 확인
Find the Key
#Solution
문제로부터 191MB의 메모리 덤프 파일을 확보했으며, 먼저 디스크 덤프를 뜬 시스템의 운영체제 정보를 확인해보았다
[그림 2] - 운영체제 정보 확인
Suggested Profile 필드로부터 WinXPSP2x86, WinXPSP3x86임을 확인했고, 프로세스 정보를 확인하기위해 아래와 같이 인자로 넣어주었다
[그림 3] - 프로세스 목록 확인
프로세스 목록 확인 결과, [그림 1]에서 확인할 수 있듯 문제 파일명을 미루어 봤을 때 Key 값을 가지고 있는 것으로
의심되는 PassKeep.exe라는 이름의 프로그램이 실행되고 있었으며, 아래와 같이 메모리로부터 추출해냈다
[그림 4] - 프로세스 덤프
프로세스 덤프 후, 해당 덤프 파일에 존재하는 스트링 값을 확인하기 위해 아래와 같이 텍스트 파일로 추출해주었다
[그림 5] - strings 명령을 통한 결과 값을 result.txt로 리다이렉션
[그림 6] - Key 값 확인
FLAG = md5('J5XfFsmdrBkRE')
'Wargame' 카테고리의 다른 글
| [FEDORA CORE 4] Dark_stone > Cruel (0) | 2017.12.29 |
|---|---|
| [MEMORY] 2012 Nuit Du hack > Password Manager 2 (0) | 2017.12.28 |
| [MEMORY] 2011 Nuit Du Hack > Forensics 300 (0) | 2017.12.28 |
| [MEMORY] 2011 Nuit Du Hack > Forensics 100 (0) | 2017.12.28 |
| [FEDORA CORE 3] Evil_wizard > Dark_stone (0) | 2017.12.27 |