문제를 보겠습니다.
문제를 이해하기 어려웠지만, 계속 보니까 이해를 하게되었습니다.
쉽게 설명을 하자면 시스템에 악명 높은 해커의 정보가 존재한다. 즉, 시스템에 존재하는 사용자 계정 중 하나일것으로 추정이 되고, 그 사용자명이 나오는 영화의 이름이 무엇인지 찾는 것이다.
그럼 사용자 계정을 보기 위해서는 레지스트리에서 SAM 파일을 뜯어봐야 되는데, 굳이 그러지 않아도 mft 파일을 뜯어보면 파일, 메타 데이터 등 다양한 정보들을 저장하고 있기 때문에 mftparser 플러그인을 사용해보겠습니다.
volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 mftparser > mftparser.csv
데이터가 엄청 많기 때문에 csv로 엑셀 파일로 저장을 하겠습니다.
열어보니 엄청난 양이 있는데, 그 중 보통 사용자의 계정은 Users에 있기 때문에 Users로 검색을 하겠습니다.
요놈들이 좀 수상해서 검색을 해보니 Hackers 라는 영화에 나오는 주인공 이름이 zerocool입니다.
FLAG : Hackers
'CTF-D > Memory' 카테고리의 다른 글
| [Memory] GrrCon 2015 #10 (0) | 2022.07.09 |
|---|---|
| [Memory] GrrCon 2015 #9 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #7 (0) | 2022.07.08 |
| [Memory GrrCon 2015 #6 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #5 (0) | 2022.07.08 |