이전 Right Time 문제에 이은 포렌식 문제이다
문제 내용을 먼저 살펴보자
"Garry"의 PC에서 피싱 프로그램으로 보여지는 프로그램의 PID값을 가져오는 문제로 보여진다
이 문제도 동일하게 volatility 툴을 사용할 것이다
volatility의 여러 플러그인들 중 사용 중인 시스템 프로세스(우리가 쓰는 작업관리자)에 관련된 정보들을 추출해 올 수 있는 옵션은 pslist 옵션이다
그리고 피싱에 관련된 pid를 찾아야 하므로 평상시 실행되는 파일이 아닌 이상한 프로그램을 찾거나 특정 프로세스로 위장한 내용을 살펴봐야 할 것이다
먼저 volatility를 사용한 결과물을 살펴보자
pslist 플러그인을 활용하여 출력한 결과이다 세부 내용을 더욱 살펴보자
가장 마지막에 실행 중인 여러 프로세스들 중에 피싱 프로그램(.exe)으로 추정되는 프로세스가 보여진다(945f.exe)
945f.exe 파일에 대해 살펴보면 pid는 12260으로 부여가 되어있으며 ppid(부모 프로세스)로는 11532로 부여된 것이 보여진다
11532 pid는 cmd.exe로 해당 프로그램의 ppid를 따라가게 되면 11516
그리고 11516의 pid는 1sass.exe 로 되어있다
그렇다면 피싱 프로그램이 어떤 것이 실행되어 있는지는 모르겠지만 1sass.exe와 945f.exe를 활용하여 피싱 프로그램이 작동 중인 것을 파악할 수 있다
또한 1sass.exe는 winupdate.exe로 위장되어 있는 것 같은 느낌이 든다(부모 프로세스가 8460이므로)
flag값은 12260, 11532, 11516, 8460 중 하나이므로 flag를 집어넣게 되면
정답은 8460이다
flag{8460}'CTF > DEADFACE 2024' 카테고리의 다른 글
| DEADFACE 2024 후기 (1) | 2024.10.21 |
|---|---|
| [Forensic] Phantom Operators - System Information Write-Up (0) | 2024.10.21 |
| [Forensic] Phantom Operators - Product ID Write-Up (0) | 2024.10.20 |
| [Forensic] Phantom Operators - Right Time Write-Up (0) | 2024.10.20 |
| [Forensic] Phantom Operators - Suspcious Sender Write-Up (2) | 2024.10.20 |