- tar파일 해제하면, 여러 파일들이 나옴.
흔한 시스템 구조가 아니어서 layer.tar를 검색해봤더니, docker 이미지 형태라는걸 찾을 수 있었음. - docker를 구동하기 위해서 docker를 설치하고,
docker load < infected.tar
docker images를 실행해서 각각 load하고 , 이미지가 잘 불러와 진걸 찾을 수 있었음. - 그럼 그 이미지 파일을
docker run -i "busy~파일명" 을 통해 구동했음. - 바이러스에 감염되었다고 했으니, 보통 바이러스 감염은 bin 폴더에서 이루어짐. ls -l /bin 명령어를 통해서 봤더니, 생성 날짜가 다른 파일이 있었음.
stirngs /bin/cat을 통해서 flag 획득
Forensic/Security/IT