[디지털포렌식] 7주차

[Volatility 실습]

[OtterCTF – Memory Forensics] 1, 2, 3 문제 풀이

(1. What the password?, 2. General Info, 3. Play Time)

---

Volatility는 설치부터 난관이었다. 아래 포스트의 도움을 많이 받았다. 

https://iforint.tistory.com/85

Volatility 설치 및 사용법 (Windows)

https://web.archive.org/web/20190324172744/www.voidspace.org.uk/python/modules.shtml

The Voidspace Python Modules

여기는 pycryton을 설치할 수 있는 링크이다. 

 

https://github.com/volatilityfoundation/volatility/wiki/Command-Reference

GitHub - volatilityfoundation/volatility: An advanced memory forensics framework

위 링크는 volatility에 있는 모든 명령어를 볼 수 있는 링크이니 필요할 때 마다 참고하자. 

다운로드가 잘 된것을 확인할 수 있었다. 

 

 

OtterCTF – Memory Forensics 1. what the password? 

 

 

비밀번호를 얻기 위해서는 아래의 방법을 거쳐야 한다. 

 

python vol.py -f "OtterCTF.vmem" imageinfo

: 덤프파일의 이미지 정보를 분석할 수 있는 명령어로 여기서 profile이 어떤 윈도우 시스템 체제를 알아낸다. 여기선 Win7SP1x64를 사용한다. 

 

python vol.py -f "OtterCTF.vmem" --profile=Win7SP1x64 hivelist

: 메모리에서 가상 메모리주소를 알아내기 위해서 hivelist를 사용한다. 

 

python vol.py -f "OtterCTF.vmem" --profile=Win7SP1x64 hashdump -y 0xfffff8a000024010 -s 0xfffff8a0016d4010

: 얻은 주소로 system과 sam을 조합해서 hashdump를 통해 윈도우 비밀번호를 추출할 수 있다. 

: 형태는 python vol.py -f "파일" --profile=[운영체제종류] hashdump -y [SYSTEM하이브파일] -s [SAM하이브 파일] 이다. 

 

python vol.py -f "OtterCTF.vmem" --profile=Win7SP1x64 lsadump

: 위의 해시값을 읽기 어려워서 lsadump으로 읽기 쉽게 변경을 해주었다. 

 

 

---

 

관련 명령어를 보다가 computer name을 알 수 있다는 envars 라는 명령어가 보여서 이를 적용해줬다. 

그랬더니 실제로 COMPUTERNAME이 뜬 것을 확인할 수 있었다. 

IP 주소를 얻기 위해는 netscan을 사용해줬다. 

 

---

 

구해야하는 것은 rick이 쓰고 있는 서버의 IP주소와 게임이름이다. 

 

python vol.py -f "OtterCTF.vmem" --profile=Win7SP1x64 pslist

: pslist를 이용해서 시스템의 프로세스를 나열한다. 이걸 이용하면 프로세스의 이름과 ID 등이 나와서 어떤 게임을 하는지 알 수 있다. 

게임이름 같은 Rick And Morty, Lavasoft..WCAss 등등 넣어봤는데 틀려서 LunarMS를 입력했더니 정답이었다. 

.exe는 실행파일 이므로 붙이면 안된다. 

 

그 다음 마지막으로 서버 이름 

: 서버를 출력할 떄 쓰는 netscan과 findstr로 LunarMS.exe가 포함된 서버를 찾으면 정답을 얻을 수 있다. 

python vol.py -f "OtterCTF.vmem" --profile=Win7SP1x64 netscan | findstr "LunarMS.exe"