문제를 보면 vol.py 를 볼 수 있는데, volality 를 사용한 것을 알 수 있다. 플러그인을 보니, 윈도우10 운영체제인 dump1.raw 파일을 메모리 덤프 뜨려고 한 것 같은데, 여기서 PID를 수정해야한다는건가? 일단 파일을 다운받고 volatility3를 실행하자!
파일의 운영체제를 다시 한번 확인해보았다. Is64Bite 와 Major/Minor 리스트를 확인하면, 운영체제는 Windows10x64인 것을 알 수 있다.
| Is64Bite | True | 64bite |
| Major/Minor | 15.10240 | Windows10 |
그럼, 곧바로 pstree 로 넘어가자.
여기서 2012, 4092인 PID를 찾아야 한다.
4092는 그림판, 2012는 메모장 실행파일로 확인 되었다.
바로 메모리덤프를 떠보자!
[ 명령어 ]
python3 vol.py -f dump1.raw -o . windows.memmap.Memmap --dump --pid 4092
python3 vol.py -f dump1.raw -o . windows.memmap.Memmap --dump --pid 2012
2012, 4092 의 메모리 덤프 파일들을 Hxd로 확인해보니, 4092에서 zoom slider이 눈에 보였다.
여러분덜~ 이 파일은 원래 그림판.exe였져 ^^ ? 그럼 그림판으로 고고 해보자.
확장자를 다 바꿔봐도 열리지 않았다. 왜지? 윈도우 OS라면서요...;ㅠ
Hxd를 뒤지다 파일이 리눅스랑 관련된 것 같아보였다. (혹쉬,, 리눅스로 문제를 만든건강,,? ^^;)
무튼 유닉스에서 그림판을 사용하려면 GIMP이 필요하다. sudo apt-get install gimp 고고 하자.
gimp에선 .dmp파일을 열 수 없다. 그렇기에 .data파일로 변경해줘야 gimp에서 덤프한 파일을 읽을 수 있다고 한다.
이제 gimp에서 pid.4092.data를 열고, 오프셋, 높이, 넓이를 조정해보자.
터치패드로 오프셋을 하나하나씩 눌러주는 노가다 (+물론 100000,20000 이런식으로 입력하고 ^^;;) 끝에 플래그를 찾았다.
'CTF > CTF-D' 카테고리의 다른 글
| [Multimedia] Find Key(moon) (0) | 2022.10.18 |
|---|---|
| [Multimedia] Find Key(butterfly) (0) | 2022.10.18 |
| [Multimedia] 우리는 이 파일에 플래그를... (0) | 2022.10.09 |
| [Multimedia] 사진 속에서 빨간색이… (0) | 2022.10.09 |
| [Multimedia] 저는 플래그를 이 파일에.. (0) | 2022.10.09 |
댓글