FIESTA 2024 - 침해대응 2 write-up
침해대응2 회사 내부망의 컴퓨터를 원격으로 이용하던 직원이 어느 날 컴퓨터의 속도가 미세하게 느려 졌음을 감지했다. 그는 컴퓨터를 면밀히 조사했으나 아무 이상을 발견하지 못했고, 결국 컴 퓨터를 이미징하여 당신에게 분석을 의뢰했다. 분석가인 당신은 이 컴퓨터가 느려진 원인을 파악해야 한다. 문제 : (1) 키로그와 스크린샷의 저장경로 (ex, [root]/xxx/yyy) (2) 악성코드가 정보수집용 프로세스를 최초 호출한 시각 UTC+9 (Ex, YYYY-MM-DD-HH:MM:SS) (3) 악성코드가 정보를 전송하는 주소flag 형식 = FIESTA{(1)_(2)_(3)} 해당 문제 압축파일을 열어보니 slowww.E01, mem.vrms 파일이 있었다. mem.vrms를 준 것 보니 volatility..
CTF/FIESTA
2024. 11. 3. 18:53