Test

#About

해커가 김장군의 PC에 침투한 흔적을 발견하였다.

사고 직후 김장군의 PC에서 획득한 메모리 덤프를 제공받은 당신은 해커가 한 행동을 밝혀내야한다

1. 김장군 PC의 IP 주소는?

2. 해커가 열람한 기밀문서의 파일명은?

3. 기밀문서의 주요 내용은? 내용속에 "Key"가 있다.

인증키 형식 : lowercase(MD5(1번답+2번답+3번키))

#Solution

[그림 1] - 문제 파일 확인

해당 시나리오에서 제공 받은 메모리 덤프 파일은 1GB이며 메모리 분석을 위해 파이썬 기반 상용 유틸리티인

 Volatility를 사용할 것이며 해당 덤프 된 시스템의 운영체제 정보를 알기 위해 imageinfo 명령을 사용하였다

[그림 2] - 운영체제 정보 확인

추후, 인자로 전달하기 위한 운영체제의 정보는 Win7SP0x86과 Win7SP1x86임을 확인했고, 먼저 해당 시나리오에서 

첫 번째로 요구하는 것은 김장군의 IP 주소이므로 이와 관련한 명령인 netscan을 이용하여 IP 주소를 확인해 보았다

[그림 3] - 네트워크 연결 정보 확인

위 그림에서 보이는 것 이외에도 아래에 IP 주소가 조금 더 있었지만 마찬가지로 192.168.197.138만을 

가지고 있었고 해당 필드가 외부 원격지가 아닌 Local Address임을 통해 김장군의 IP 주소임을 알 수 있었다

다음으로 해커가 기밀문서를 열람하기 위해 사용했던 명령을 확인하기위해 아래와 같이 cmdscan을 이용했다

[그림 4] - 명령 프롬프트 히스토리 확인

확인 결과, notepad를 이용하여 C:\Users\training\Desktop에 있는 "SecreetDocumen7.txt"라는 문서를 열람했음을 알 수 있었고

또한 문제에서 마지막으로 요구하는 사항인 기밀문서의 내용을 확인하기 위해 메모리로부터 해당 파일을 추출해야 하므로 

먼저 기밀문서의 메모리상 위치를 알아야하고, 이를 위해 아래와 같이 filescan 명령과 grep을 이용하여 확인할 수 있었다

[그림 5] - 기밀문서의 메모리상 주소 확인

확인 된 메모리 주소는 0x3df2ddd8이며, 이를 이용하여 아래와 같이 dumpfiles 명령을 이용하여 기밀문서를 메모리로부터 추출해냈다

[그림 6] - 메모리로부터 기밀문서 추출

추출 된 기밀문서를 열람 결과, 아래와 같이 해당 시나리오에서 마지막으로 요구하는 Key 값을 확인할 수 있었다

[그림 7] - 기밀문서 속 Key 값 확인

인증키 : md5(192.168.197.138SecreetDocumen7.txt4rmy_4irforce_N4vy)