GrrCON2015 _17

0

디지털포렌식

목록 보기
42/115
post-custom-banner

Q. 신용에 관한 모든 것! 공격자가 최근에 프론트 데스크 컴퓨터에서 보안관리자 Gideon의 컴퓨터로 접속해서 비밀번호를 덤프 한 것 같다. gideon의 비밀번호는?

파일이 바뀐다 이번 문제부터.

imageinfo 확인하고 os명 확인하고, 기초작업 완료

그러고 나면, window 운영체제이고, 관리자 모드로 접속해서 작업했다니까, cmd로 뭔가 하지 않았을까??

  1. python vol.py -f 파일명 --profile=os명 cmdscan을 통해서
    알아보면.
    gideon 폴더에 w.tmp를 wce.exe (앞에서 확인한 해킹 툴)이 뭔가 썼음.

  2. python vol.py -f 파일명 --profile=os명 filescan | findstr w.tmp
    해서 offset 알아내고

  3. python vol.py -f 파일명 --profile=os명 dumpfiles -Q offset값 -D ./
    하면 추출됨
    이거 열어보면 답 확인가능.

0개의 댓글