Q. 신용에 관한 모든 것! 공격자가 최근에 프론트 데스크 컴퓨터에서 보안관리자 Gideon의 컴퓨터로 접속해서 비밀번호를 덤프 한 것 같다. gideon의 비밀번호는?
파일이 바뀐다 이번 문제부터.
imageinfo 확인하고 os명 확인하고, 기초작업 완료
그러고 나면, window 운영체제이고, 관리자 모드로 접속해서 작업했다니까, cmd로 뭔가 하지 않았을까??
-
python vol.py -f 파일명 --profile=os명 cmdscan을 통해서
알아보면.
gideon 폴더에 w.tmp를 wce.exe (앞에서 확인한 해킹 툴)이 뭔가 썼음. -
python vol.py -f 파일명 --profile=os명 filescan | findstr w.tmp
해서 offset 알아내고 -
python vol.py -f 파일명 --profile=os명 dumpfiles -Q offset값 -D ./
하면 추출됨
이거 열어보면 답 확인가능.
Forensic/Security/IT