Command & Control

해당 문제는 root me의 Command & Control문제에 대한 풀이입니다.

---

해당 문제를 읽어보면 dump 파일을 조사해야하는 것으로 volatility3을 사용하면 될 것 같다.

문제의 정답을 hostname을 찾으면 되는 것으로 hostname이 나올법한 부분만 추출하고 조사하였다.

우서 windows.info를 통해 Windows 메모리 덤프 파일에서 기본 시스템 정보를 출력해 보았다.

이 플러그인은 시스템의 기본적인 정보, 커널 버전, 운영 체제 버전, 시스템 시간, 시스템 루트 디렉토리, 제품 유형 등 다양한 중요한 데이터를 제공한다.

음 딱히 찾을만한 정보를 없었다.

그럼 다음으로는 windows.registry.printkey를 사용해보겠다.

registry 경로는 ControlSet001\Services\Tcpip\Parameters 부터 보고 여기에 없으면 Microsoft\Windows NT\CurrentVersion를 확인해야 겠다.

여기서 ControlSet001\Services\Tcpip\Parameters 부터 하는 이유는 저 registry는 네트워크와 관련된 설정 정보를 포함하고 있다. 그렇기에 이 경로는 TCP/IP 설정과 관련된 다양한 파라미터를 저장하는 곳으로 시스템의 호스트네임, 도메인, 네트워크 인터페이스 등의 정보를 확인할 수 있어 먼저 확인해 주었다.

hostname을 찾을 수 있었다.