N0cT1s41

해당 문제는 root me의 Command & Control문제에 대한 풀이입니다.해당 문제를 읽어보면 dump 파일을 조사해야하는 것으로 volatility3을 사용하면 될 것 같다.문제의 정답을 hostname을 찾으면 되는 것으로 hostname이 나올법한 부분만 추출하고 조사하였다.우서 windows.info를 통해 Windows 메모리 덤프 파일에서 기본 시스템 정보를 출력해 보았다.이 플러그인은 시스템의 기본적인 정보, 커널 버전, 운영 체제 버전, 시스템 시간, 시스템 루트 디렉토리, 제품 유형 등 다양한 중요한 데이터를 제공한다.음 딱히 찾을만한 정보를 없었다.그럼 다음으로는 windows.registry.printkey를 사용해보겠다.registry 경로는 ControlSet001\Ser..

해당 문제는 root me의 Deleted file문제에 대한 풀이입니다.해당 challenge 파일을 다운로드 해보면 아래와 같은 .gz의 압축파일을 다운 받을 수 있다.해당 압축파일을 바로 hxd로 확인해 보았지만 의미있는것은 찾지 못했다.압축파일을 풀었는데 예상한것과는 다른 것이 풀어졌다.위 알집을 통해 풀려고 했을 때는 ch39라는 파일이 나올 것 같았지만 윈도우로 압축을 푸니 usb.image 파일이 생성되었다.뭐 일단 image 파일이 나왔으니 FTK Imager로 분석을 해보아야한다.root 폴더가 있는것이 확인됐다. 확인해보니 아래와 같이 anonyme.png라는 사진이 있었다.해당 사진을 상단 view files in plain text 아이콘을 눌러 텍스트로 바꿔주면 flag를 찾을 수..