KMA-CTF FORENSICS 200(2)
Đây là đề bài và file download với pass giải nén là kmactf.
Thiết bị lưu trữ sử dụng phổ biến hiện nay đó chính là USB.
Bài này có Hint là Volatility. Mình sẽ sử dụng nó để phân tích file device.raw được tải về.
Bài này có Hint là Volatility. Mình sẽ sử dụng nó để phân tích file device.raw được tải về.
Để biết được các câu lệnh trong Volatility ta sử dụng lênh volatility.exe -h
Bước đầu tiên: kiểm tra thông tin device.raw với lệnh volatility.exe imageinfo -f device.raw
Và kết quả là nó được tao trên HDH WinXPSP3x86
Bước thứ 2: kiểm tra các tiến trình process đang chạy với lệnh volatility.exe pslist -f device.raw
Đề bài yêu cầu tìm thông tin về thiết bị lưu trữ, qua bài viết này USB_History_Viewing mình biết được mỗi khi USB được cắm vào thì thông tin của nó sẽ được lưu trữ trong HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
do vậy mình sẽ dump file regedit.exe này ra với lệnh
volatility.exe --profile=WinXPSP3x86 -p 1248 memdump -D D:/ -f device.raw
File 1248.dmp sẽ xuất hiện trong ổ D. MÌnh mở file này với notepad++.
Tiếp theo tìm tên nhà sản xuất của thiết bị, mình Find với từ khóa USB Flash sau một hồi thì được
Tiếp theo tìm tên nhà sản xuất của thiết bị, mình Find với từ khóa USB Flash sau một hồi thì được
ADATA USB Flash Drive 0.00ADATA
=> tên của thiết bị này là ADATA. Search gu gồ anh ý bảo đây là tên nhà sản xuất luôn. OKE.
được tên nhà sản xuất.
Tiếp theo tìm tập tin đã bị sao chép. Find với từ khóa Copied
Vậy file là s3cr3t.doc,
Bây giờ là tìm tên đăng nhập. Find Username được USERNAME=hAck3r
Vậy chỉ còn thời gian nữa thôi.
Để tìm được thời gian ta cần biết USB nằm ở chỗ nào. Qua bài USBSTOR mình biết được USB được chứa tại mục system.
Dùng lệnh volatility hivelist -f device.raw để tìm tên đường dẫn của system.
được time là 23-12-13 05:32:41
Vậy Flag là: KMA_ADATA_23-12-13-05:32:41_h4ck3r_s3cr3t.doc
Bài có tham khảo bên KMA-CTF
KMA-CTF FORENSICS 200(2)
Reviewed by Unknown
on
14:10
Rating:
Reviewed by Unknown
on
14:10
Rating:
Không có nhận xét nào: