[DFIR] CALL SANDEEP

펄이 Sandeep과 연락이 안되가지고 Jade가 메일을 통해 Sandeep에 연락할 수 있는 코드를 펄한테 보냈는데, 그때 또 펄의 PC가 다운되서 펄의 정보를 엑세스할 수 없는 상태. 그니까 Sandeepd에게 연락할 수 있는 코드를 찾아달라 라는 의미인 것 같은데, 생일파티때문에 난리났구만..

일단 raw 파일을 다운받아 Volatitily2.6으로 실행시켜 분석을 시작해보자.

1) 운영체제

Windows7 운영체제 확인

2) 프로세스

시간대를 보면 제일 마지막에 사용한 것 같다. 더군다나 thunderbird면, 이메일이잖아?

3) 메모리 덤프

thunderbird 의 PID 3888을 메모리 덤프하자.

이제 메모리 덤프한 파일을 텍스트로 변화해서 Notpad++을 통해 분석하자.

메모리 덤프 파일을 텍스트로 변환

4) Jade 관련 찾기

Jade 의 이메일 : jade8stoner@gmail.com

흠. 또다른 이메일 확인(?)

Jade가 sandeep 사진들을 다운 받은 것 같다. hint text파일도 다운로드 확인

Jade가 Pearl한테 이메일을 보낸 내용 확인

어우 정신없어. 메일 보면 파티에 대해 얘기를 하는 것 같은데.. 눈아푸다..

5) 파일 추출

sandeep 사진 파일들과 hint 파일을 추출해보자.

sandeep.pdf

sandeepkahahai.jpg

sandeepkobulao.jpg

sandeep.png

Important.png

5-1) sandeep.pdf

dumpfiles -Q [메모리주소] -D [현재 디렉토리에 저장]

PDF파일을 추출했다. .pdf로 확장자를 바꿔보자.

인도 언어같은데 뭔말인지 모르겠다; 검색해도 잘 안나옴..

Rok Sako to Rok Lo 는 인도 스포츠 드라마 제목이다.

무슨 말인지 전혀 모르겠다. 일단 패스

5-2) sandeepkahahai.jpg

응? 보석사진인가? 스테가노 툴, Hxd돌려봤는데 별 거 없었다.

5-3) sandeepkobulao.jpg

흠..여기에도 아무것도 안보이네

5-4) sandeep.png | important.png
조회가 안된다.... 뭐지..

.png 로 조회한 결과 1개가 나온다.

PNG의 푸터는 있는데 헤더가 없다. 그럼 헤더를 추가해보자.

흠....헤더 추가했는데 이렇게 보인다.. 뭔가 잘못된 것 같다. 다시 한번 Hxd를 확인해보자.

헤더랑 IHDR실수함;;; 일단 저장하고 확인해보자.

뭐여...플래그 2개였어?......

png 파일을 열어보니 jctf{p34rl_1s_?????} 인 것 같다. 이게 첫번째 플래그면.. 두번째 플래그를 찾아야한다.

---

정리
펄이 Sandeep에 연락하기 위해 모든 정보와 코드를 검색을 찾으라는건데,
여기서 정보는 찾은 것 같다. 제이드가 메일로 Sandeep한테 연락할 수 있는 코드를 보냈다고 하는데..
코드..코드...후.. 나에게 시련이 왔구나...

---

6)

"Sent" 파일 스캔을 해봤다. 저 msf 한번 추출해보자ㅠ

흠? 뭔지 모르겠다. Thunderbard통해 열어봤는데 아무것도 안나온다.

다시 문제 raw파일에서 sent를 찾아보자.

Base64로 인코딩 확인

디코딩 한 번한 값.. Hxd로 복붙해봄

....?

디코딩 잘 안되면 쓰라고 준 코드!! ㅠㅠ이게 뭐꼬..C언어라 파이썬으로 바꾸자.

 

수포자는 웁니다... 일단 출력해보지.

 

아개 플래그인가..? 한번 시도해보자. ".*"잊지말자 - 응 아니야.

흠..그럼 뭐지.. 딱 봐도 읽어지지가 않으니, ROT13으로 가자.

 

뭐여..플래그 .* 이거 넣어줘야되는거 아님? 어쨌든 풀었다..