[cce2020] forensic - [하] simple memory

[그림1 - simple memory]

문제 첫 화면이고 메모리 덤프 파일에서 악성코드를 찾는 문제다.

하단의 링크에서 덤프 파일을 다운 받고 압축해제를 했다.

 

[그림2 - volatility 운영체제 분석]

volatility로 운영체제를 분석한 결과는 'Win7SP1x64'다.

 

[그림3 - volatility 프로세스 리스트 출력]

분석한 운영체제 정보로 프로세스 리스트를 출력했다.

 

[그림4 - volatility 프로세스 리스트]

프로세스 리스트를 훑어보다가 'malware.exe'라는 의심스러운 프로세스를 발견했다.

 

[그림5 - volatility 프로세스 덤프]

procdump 플러그인을 사용해서 'malware.exe' 프로세스를 실행 가능한 파일로 덤프했다.

 

[그림6 - hex값 확인]

덤프한 파일의 hex값을 확인했더니 flag가 숨겨져 있었다.

파일 실행이 안돼서 윈도우로 파일을 옮겨와서 실행시켰다.

[그림7 - flag 획득]

cce2020{a755febafb7ed2179bdece02b8d35050}