SolB

문제 4 ) Name Game

위처럼 memdump를 통해 PID 708의 Dump를 떠보았다.

이를 strings를 이용해 708.txt를 만들어주었다.

그리고 이 텍스트파일에 들어가서 Lunar-3를 검색해주었다.

username은 0tt3r8r33z3이다.

+) yarascan을 이용한 방법도 있지만, 설치하지 못해 실행해보지 못했다.

flag : CTF{0tt3r8r33z3}

문제 5 ) Name Game2

해당 문제에서도 yarascan을 이용해주어야 하는데 설치를 하지 못해 해결하지 못했다.

python2 vol.py -f "경로\OtterCTF.vmem" --profile=Win7SP1x64 yarascan --yara-rules="{64 [6-8] 40 06 [18] 5a 0c 00 00}" -p 708

를 실행해주면 flag를 구할 수 있다.

flag : CTF{M0rtyL0L}

문제 6 ) Silly Rick

clipboard 플러그인을 사용해 클립보드 내용을 확인하여 flag를 발견할 수 있었다.

flag : CTF{M@il_Pr0vid0rs}

문제 1 ) What the password?

파일 다운 후, 압축을 풀어주었다.

[volatility의 경로] -f [덤프파일명] imageinfo : 어떤 프로파일을 가지고 있는 지 확인하기

Win7SP1x64 환경이라는 것을 알 수 있다.

profile은 Win7SP1x64를 사용하고 해당 되는 하이브 주소값을 보며 Windows password를 크랙하기 위하여  hivelist 를 사용해준다.

lsadump를 이용해 registry로부터 LSA dump를 수행하도록 하였다. 이는 Default password, RDP public key, DPAPI credentials 등의 정보를 출력해준다. 

Flag : CTF{MortylsReallyAnOtter}

문제 2 ) General Info

[volatility의 경로] -f [덤프파일명] --profile=[덤프파일운영체제] netscan 

이를 통해 연결된 리스트를 출력하였다.

192.168.202.131과 연결하였다.

PC IP flag : CTF{192.168.202.131}

[volatility의 경로] -f [덤프파일명] --profile=[덤프파일운영체제] printkey -o [hive가상주소] -K [얻고 싶은 키 위치]

이를 통해 운영체제 정보를 알아내었다.

PC name flag : CTF{WIN-LO6FAF3DTFE}

문제 3 ) Play Time

pstree를 통해 프로세스 목록을 조회하였다.

lunarMS.exe게임을 하고 있는 것을 확인할 수 있었다.

Game name flag : CTF{LunarMS}

ip를 확인하기 위해 netscan을 사용해주었다.

Server IP flag : CTF{77.102.199.102}

volatility 

: volatility Foundation에서 제공하는 python script 언어로 제작된 오픈소스 메모리 포렌식 도구

- volatility를 활용한 메모리 분석 6단계

: OS 분석 -> Process 분석 -> Network 분석 -> DLL 및 Thread 분석 -> String 분석 -> Registry 분석

readline

: 파이어아이 회사의 Mandiant에서 제작된 공개도구

- 시스템 물리적 메모리에서 동작하고 있는 프로세스 정보, 파일 시스템 메타데이터, 레지스터리, 이벤트, 네트워크, 서비스, 웹 히스토리 정보 등을 확인할 수 있다.

volatility 플러그인

- pstree  :  프로세스를 트리구조로 출력

- pslist  : 프로세스 리스트 출력, 리스트 워킹 (가상 주소)

- psscan  : 프로세스 리스트 출력, 패턴 매칭 (물리적 주소)

- psxview   :  프로세스 은닉을 탐지하기 위해 다양한 방식으로 프로세스 등을 조회

- procdump  :  프로세스 실행파일 추출

- memdump  :  프로세스가 사용한 전체 메모리영역 덤프

- filescan  :  메모리상의 파일 오브젝트 전체검색(패턴 매칭)  

- hivelist  :  메모리상의 파일

- cmdscan  :  cmd에서 실행한 명령어 확인

- cmdline  :  cmd에서 실행한 명령어 이력 확인

- netscan  :  네트워크 연결 등 확인

volatility 설치

https://www.python.org/downloads/

volatility 설치 전, python 2.7을 설치해주어야한다.

www.volatilityfoundation.org/

위 링크를 통해 volatility를 설치할 수 있다.

[참조]

blog.naver.com/chogar/80211957733

wave1994.tistory.com/31

FTK Imager 사용법

- 설치

아래 링크를 통해 FTK Imager 설치가 가능하다
https://www.exterro.com/top-10-most-underrated-ftk-features-2

- 보기 창

• Evidence Tree View : 계층적 트리 구조로 추가한 증거 항목을 보여줌
• File List : 현재 Evidence Tree 창에 선택된 항목에 있는 파일과 폴더를 보여줌
• Properties / Hex Value Interpreter / Custom content Sources : Evidence Tree 창이나 File List 창에서 현재 선택된 객체의 다양한 정보를 보여주고, 뷰어에 선택된 16진수 값을 10진수와 가능한 날짜와 시간 값으로 변환하고, Custom Content 이미지에 포함된 내용을 각각 보여줌
• Viewer : Preview Mode 옵션인 Natural, Text, Hex 선택에 따라 현재 선택된 파일의 내용을 보여줌

- FTK Imager 기능

FTK Imager을 사용해 이미지 파일을 생성하기 전에 일부 증거를 미리 볼 수 있음
Add to Custom Content(AD1) image를 선택해 전체 증거 객체나 특정 객체를 선택할 수 있음

참고 : https://k-dfc.tistory.com/34

디스크 파일 덤프 + 파티션 삭제하고 내용 복구해보기

다음 사진들을 삭제하고 복구할 것이다.
먼저 아래 사진들을 삭제해주었다.

1) File -> Create Disk Image
Logical Drive 선택하기

2) Drive 선택

3) Add 선택

4) E01 선택

5) 정보 입력 (넘어가도 괜찮음)

6) 이미지 저장할 폴더, 파일 이름 작성

7) start 누르고 이미지 create하기

- create 완료

다음과 같은 정보를 확인할 수 있다.

그리고 저장한 폴더에 가보면 다음과 같이 image.E01이 저장되어 있는 것을 확인할 수 있다.

8) File -> Add Evidence item
Logical Drive 선택

9) Drive 선택

10) 삭제된 파일을 확인할 수 있다

- 삭제된 파일을 클릭하고 Export Files 선택
Export가 완료되면 다음과 같은 팝업창이 뜬다

11) 폴더 확인 (복구 확인)

여기서 1은 찾을 수 없었다. (혼자 PNG파일이여서 그런 것 같기도)

이렇게 사진을 복구해보았다.