[H4CKING GAME] art

이번 시간에는 H4CKING GAME 워게임 사이트에 있는 포렌식 문제 중 마지막 문제입니다.

문제를 보면 Can you turn off the lights,  loot at my ram이라고 적혀있네요.. 해석을 해보면

전원이 들어와있지 않은 내 메모리 카드를 볼 수 있니?? 라고 할 수 있겠네요...

결국엔 문제에 메모리 포렌식 기술을 활용하라고 되어있는거 같은데 파일을 다운 받아보겠습니다.

 

문제 파일은 mp4확장자여서 실행을 시켰더니 에러가 발생했습니다.

그럼 hxd에디터로 열어보겠습니다.

허허...다 비어있군요...근데 파일 용량이 2기가인게 너무 의심스러워서 계속 내리다보니 데이터가 있는것을 확인할 수 있었는데요, 그러다가 시스템 관련된 데이터를 발견할 수 있었습니다.

이것을 보면 문제에 나와있는거 처럼 RAM을 볼 수 있냐라고 했으니 메모리를 덤프한 파일 일것이라고 추측이 들어 확장자를 .dd확장자로 바꿔 메모리 포렌식을 진행해 보았습니다.

 

사용한 도구는 volatility로 메모리 분석을 하기 위해 만들어진 툴입니다.

먼저 메모리 분석을 하기 전 volatility2버전에서는 profile을 알아야 분석이 가능하기 때문에 profile을 먼저 수집해야 합니다. (volatility3버전에서는 profile을 몰라도 상관없습니다.)

 

profile을 수집하기 위해 사용한 명령어 : imageinfo

분석할 파일의 Suggested Profile은 Win7SP1x64입니다.

 

다음은 분석할 파일에서 현재 실행되고 있는 프로세스들을 확인 해야합니다. 명령어는 다음과 같습니다.

 

현재 실행되고 있는 프로세스 확인 명령어 : pstree

현재 실행중인 프로세스들을 보면 하단에 cmd가 실행되어 있는것을 볼 수 있는데, cmd를 분석하기 전 프로세스가 종료가 된것도 한번 보겠습니다.

 

종료 되었거나 은닉되어 있는 프로세스 확인 명령어 : psscan

음...솔직히 이것만 봐서는 그냥 mspaint(그림판)을 종료했다는것과 pstree에도 봤던 Dumpit.exe만 의심한 상태로 바로 cmd분석을 진행 해봤습니다.

 

cmd에서 입력한 기록을 볼 수 있는 명령어 : cmdscan

이부분을 보면 dir과 Dumpit.exe명령어를 사용했는데 이로써 알게 된건 무조건 덤프를 떴구나 생각할 수 있습니다. 그래서 분석하고 있는 메모리 덤프파일에 들어있는 모든 파일을 스캔하기 위해서 filescan을 떴으나 cmd창에서는 너무 많아서 리눅스 메타기호를 사용하면 출력된 내용을 그대로 파일로 만들 수 있게 명령어를 쓰겠습니다.

 

메모리 덤프 파일에 존재하는 파일을 스캔하는 명령어 : filescan ( filescan >> "*.txt"를 하면 텍스트 파일로 만듦 )

txt파일이 만들어진것을 확인할 수 있습니다. 그럼 파일을 열어보았더니 너무 많은 데이터가 존재해서 혹시나 flag값을 찾아야 하니까 flag를 검색했더니 bmp파일이 하나 나옵니다.

bmp파일은 Bit Map의 약자로 마이크로소프트 윈도, OS/2 등의 운영 체제에서 쓰는 그림 파일의 확장자입니다.

그럼 이 부분을 덤프해서 확장자를 bmp로 바꿔주면 사진이 하나 나온다는 생각에 바로 dumpfiles명령어로 덤프를 떴습니다.

 

filescan을 통해 나온 파일을 실제 메모리 파일로부터 실제 데이터 파일로 추출 할 때 사용하는 명령어 : dumpfiles

명령어를 사용하고 나면 이런 파일이 하나 생성이 됩니다.

이제 dat확장자를 bmp 확장자로 바꿔주면 플래그값을 볼 수 있습니다.

이렇게 포렌식 문제를 6개 다 풀어봤는데요, 사실상 이번 문제인 메모리 포렌식은 공부를 많이 안했어서 시간이 좀 오래 걸리긴 했는데 구글링이 다 해결을 해주네요 ㅎㅎㅎ!!!! 그리고 이번 문제의 파일 유무를 확인하기 위해 hxd에디터로 찾기를 사용해서 flag를 검색해보잖아요!? 그럼 이 파일의 존재 유무를 확인할 수 있습니다. 물론 flag라는 값이 많이 나와서 조금 당황스럽긴 할거에요 ㅎㅎㅎ 난이도 별로 워게임사이트를 준비해주신 H4C팀원분들 정말 감사합니다 좋은 경험을 했습니다!!!