[SuNiNaTaS] #30

Download를 눌러 일단 문제풀이에 필요한 파일( MemoryDump(SuNiNaTaS) )을 다운로드했다. 메모리 덤프파일인 것 같다 !

 

volatility라는 툴을 이용해야하는데 

설치가 파이썬 2.7x와 pycrypto를 설치하고 이것저것 설치해야되는 게 많았다.

ghdwn0217.tistory.com/62

윈도우에 볼라틸리티(Volatility) 설치하기

그리고 volatility 공식홈페이지에서 www.volatilityfoundation.org/26 을 다운로드 받고 해야했다.

 

그런데 나는 이 과정에서 뭔가 안되는 게 많아서 ㅠㅠ 열심히 구글링하며 차근차근 해결하고 있었다.

그러다 수빈이언니가 volatility.exe 파일을 줘서 그걸로 하게되었다 !

 

문제 첨부파일과 이 exe파일을 같은 폴더에 넣어놓고 플러그인을 하면 되었다 :)

volatility.exe -f MemoryDump(SuNiNaTaS) imageinfo 를 입력해주면

(-f 옵션에 메모리 덤프파일 )

메모리 정보를 확인할 수 있다 ! 

이때 운영체제 정보를 확인해야하는데, (운영체제를 알아야 플러그인할 수 있다고 한다)

저기 형광펜 쳐있는 Suggested Profile(s) 에 있는 운영체제이다

이제 저 운영체제를 이용해 

volatility.exe -f MemoryDump(SuNiNaTaS) --profile=Win7SP1x86 netscan 을 입력한다.

연결된 네트워크가 소켓을 확인할 수 있다. 여기서 ip정보를 얻을 수 있다.

 

Local Address 가 192.168.197.138에서 뭔갈 한게 많다.

아무래도 이게 김장군 pc의 ip주소일 것이다.

 

 

volatility.exe -f MemoryDump(SuNiNaTaS) --profile=Win7SP1x86 pstree 를 통해

프로세스를 확인한다.

PID는 프로세스 자신을 가리키는 일련의 번호이고

PPID는 (Parent PID)는 자신을 실행시킨 부모프로세스의 PID이다.

 

cmd.exe의 PID는 1256이다.

기밀문서를 cmd를 통해 들어갔을 것만 같아 이 곳을 파는 게 좋을 것 같다.

바로 밑에 notepad.exe의 PPID는 1256이다.

cmd로 notepad.exe를 실행시켜 기밀문서를 본 것이 틀림없다 !

 

이제 volatility.exe -f MemoryDump(SuNiNaTaS) --profile=Win7SP1x86 cmdscan으로 

cmd에 입력한 명령어 기록을 확인했다.

기밀문서는 SecreetDocument7.txt라는 걸 알 수 있다.

cmd를 통해 기밀문서를 들어갔나보당

 

volatility.exe -f MemoryDump(SuNiNaTaS) --profile=Win7SP1x86 filescan | findstr ".txt" 로

확장자가 txt인 것만 출력했다.

기밀문서의 물리적 주소가 0x000000003df2ddd8 임을 알아내었다

 

이제 문서의 물리적 주소를 이용해 추출해보고자한다.

volatility.exe -f MemoryDump(SuNiNaTaS) --profile= Win7SP1x86 dumpfiles -Q 0x000000003df2ddd8 -D ./ 을 입력해

(-Q옵션에 복구파일의 물리적 주소 / -D옵션에 복구파일을 저장할 경로)

 

volatility.exe가 있는 위치에 파일을 복구시킬려고 했다.

그

런

데

이런 에러가 뜬다 ㅠ 구글링하며 해결해보려 했지만

안된다 ㅜㅜ 

아무래도 원래 방식대로 volatility를 설치해야되는 것 같다.

 

python 설치에 계속 오류가 생긴다 ㅠㅠ