써니나타스 30번

써니나타스 30번 문제입니다.

메모리 덤프를 분석하기 위해서 

volatility_2.6이라는 도구를 사용할 것입니다.

 

문제파일을 같은 폴더 안에 넣어주고

cmd 오픈 후 cd volatility 폴더 안으로 가줍시다.

imageinfo 명령어를 통해 해당 시스템 정보를 알아보자

Win7SP1x86 인 것을 알 수 있다.

자 이제 netscan 을 이용해서 김장군의 IP를 알아보자.

192.168.197.138

이번에는 pstree를 이용해서 프로세스 목록을 확인해 보자

cmd를 통해서 notepad가 실행이 된걸 확인할수 있었다.

cmdscan를 통해서 cmd에 무엇을 입력했는지 확인해 보자

SecreetDocumen7.txt 파일을 확인할 수 있었다.

filescan과 findstr 조건을 걸어서 SecreetDocumen7.txt 확인해 보자

문서의 offset 주소를 확인할 수 있었다.

현재 경로에 메모장을 추출하자.