xcz Prob24

메모리 포렌식 문제다. 한번 풀어보자. 일단 문제를 보면 메모리 덤프파일 언급이 나오는 걸 보아하니 volatility 이용하는 문제라고 예상할 수 있다.
이 문제에서 구해야 되는건 프로세스 이름/pid/포트/실행 시간(요일-월-일-시간-년도)
일단 파일을 다운받자. volatility에서 열기 위해 칼리에서 파일을 다운받았다.

한번 압축을 풀어볼려고 했는데 손상된 파일이라고 떴다...일단 volatility를 켜서 파일을 분석해보자.

먼저, 프로세스 리스트를 알아보기 위해 vol.py -f xczprob2 windows.pslist 명령어를 쳐 봤다. 딱히 이상한 점은 발견하지 못했다.

좀 더 보기쉽게 나타내봤다.
connection을 알고 싶은데, 내 volatility3에서는 netstat, netscan을 지원하지 않는다고 한다. 강제로 다운그레이드할수밖에....(시도하다가 python2가 깔려야 한다는 걸 보고 포기함)
할수없이, 나머지 명령어를 가지고 시도해 볼 수 밖에 없다....

windows.cmdline을 쳤더니, cmd.exe를 사용하는 2개의 파일이 나온다.

cmd.exe는 cmd를 여는 실행파일이다. 흠?🤔
범인을 nc.exe라고 가정하자.

포트번호는 80

다음에는 window에 volatility2 버전으로 깔아봐야겠다. 아무래도 python2 설치하면 꼬일까봐 안했는데 너무 불편하다...