| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
- 파이썬
- 흰화면
- 같은볼륨을원본및대상으로사용할수없습니다
- writeup
- 백준
- 공유기주소
- 브론즈
- 대외활동
- 프로그래밍
- 해킹방어대회
- 인증서
- ctf
- 블루투스핀번호
- 방화벽흰화면
- 0xE0070160
- 디지털메타버스
- 도형추리
- 자격증
- 키보드페어링
- 후기
- 윈도우11
- Secpol
- 반크서포터즈
- MSVCP140
- 윈도우
- 동작없음
- 사이버외교
- 서포터즈
- 게임
- FN고정
- Today
- Total
히토리
CCE2021 FORENSIC (DIamond, Ruby, Pearl) 문제풀이 본문
메모리 분석에 필요한 volatility를 다운로드 합니다.
※ volatility2로 분석을 진행했지만 원활하게 되지 않았습니다.
(링크) : Volatility 3 Release (volatilityfoundation.org)
다운로드 받은 volatility 폴더에 CCE_forensic.7z 파일을 압축해제합니다.
압축해제한 파일을 vol.py와 동일한 경로에 넣고 분석합니다.
vol.py -f CCE_forensic.mem windows.info
windows.info 결과화면
pslist 옵션으로 프로세스를 확인합니다.
vol.py -f CCE_forensic.mem windows.pslist
pslist를 확인하면 원격 데스크톱 연결을 확인하실 수 있습니다.
mstsc.exe 확인 pid 번호 : 5880
메모리 덤프를 생성합니다 (소요 시간은 약 15분 정도 걸렸습니다)
vol.py -f CCE_forensic.mem windows.memmap --pid 5880 --dump
pid.5880.dmg 파일이 생성되었습니다 (메모리 덤프 마지막 부분)
GIMP를 설치합니다. (그림을 편집할 때 사용되는 소프트웨어)
(링크) : https://www.gimp.org/downloads/thanks.html
gimp 설치 화면
* 파일 확장자를 dmg에서 data로 변경 후 분석합니다
이미지 유형을 RGB알파로 변경하고 오프셋을 적절히 조절합니다.
플래그 : cce2021{7b55331e4fedc2107f53c40c3655d398}
'정보보안 > CTF 문제풀이' 카테고리의 다른 글
| CTF 스테가노그래피 (스펙트로그램) audacity 문제 제작하기 (0) | 2025.07.25 |
|---|---|
| mctf qr code (0) | 2025.07.25 |
| revenge of baby shock (1) | 2025.07.25 |
| Magically Delicious (1) | 2025.07.25 |
