Test

#About

Berthier, with your help the computer have been identified You have requested a memory dump and before starting your analysis you want to take a look at 

the antivirus logs. Unfortunately you forget to write down the workstation hostname. But It's not a problem to get it back since you have a memory dump.

The validation flag is the workstation hostname

#Solution

[그림 1] - 문제 파일 확인

해당 시나리오로부터 제공받은 메모리 덤프 파일은 512MB이며 분석을 진행하기 위해 먼저, 운영체제 정보를 확인했다

[그림 2] - 운영체제 정보 확인

imageinfo 플러그인을 이용하여 운영체제 정보 확인결과, Win7SP0x86, Win7SP1x86임을 알 수 있었고 해당 문제에서 

요구하는 것은 workstation의 hostname이므로 해당 정보가 저장되어 있는 곳인 레지스트리를 살펴볼 것이다.

만약 포렌식에 있어 레지스트리를 분석해본 경험이 있다면 레지스트리 하이브 중 SYSTEM에 가장 많은 시스템 정보가 

담겨 있음을 알 것이다. 따라서 메모리 상의 SYSTEM 하이브가 존재하는 주소를 찾아야 하며 hivelist라는 플러그인을 이용했다.

[그림 3] - 메모리상의 레지스트리 하이브 SYSTEM 주소 확인

확인한 메모리 상의 가상주소를 HIVE OFFSET을 의미하는 -o 옵션 및 레지스트리 키 값을 출력하는 -K 옵션을 통해 

hostname값이 저장되어 있는 경로인 ControlSet001\Control\ComputerName\ComputerName을 입력해주었다

[그림 4] - 레지스트리 분석을 통한 hostname 확인

Flag = WIN-ETSA91RKCFP