[Memory] GrrCon 2015 #9

문제를 보겠습니다.

관리자 계정의 NTLM 암호 해시를 찾아야 하는데, volatility는 hash를 덤프해주는 hashdump 플러그인이 있습니다.

 

hashdump는 SAM 파일을 추출할 때 쓰이는 명령이고, 사용자의 암호 해쉬값을 찾을 수 있습니다. 

volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 hashdump

Flag : aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82