Q. 해커조차도 평문으로 데이터를 전송한다. 공격자는 평문 암호를 덤프하기 위해 옮긴 도구 중 하나를 사용했다. 데스크 로컬 관리자 계정의 암호는 무엇인가?
- 아까 뽑아낸 파일(도구 3개) 중에서 wce.exe -> 윈도우 계정의 비밀번호 해시와 문자열을 추출해서 보여주는 도구.
wce.exe를 실행했으면 cmd 창에서 뭔가 쳤을 거 같음.
cmdscan을 하면 wce.exe가 w.tmp 파일에 뭔가 했음.
그럼 또 찾아야지?
-
python vol.py -f 파일명 --profile=os명 filescan |findstr w.tmp
하면 offset 찾을 수 있음. -
python vol.py -f 파일명 --profiles=os명 dumpfiles -Q (offset) -D ./
하고 열어보면 답이 나옴니다.
Forensic/Security/IT