Background Image

BLOG

DKHOS - Forensic 400 - Hafıza Kaybı
17 Şubat 2018 CTF

DKHOS - Forensic 400 - Hafıza Kaybı


Soru Çözümü :

Soruda hafıza imajı dosyası verilmiştir. Kullanacağımız temel araç volatility olacaktır. Analizi başlamadan önce ilk olarak hafıza imajının alındığı sistem hakkında bilgi edinmemiz gerekiyor. Bunun için imageinfo komutunu kullanabiliriz. İlgili komut sonucunda Win7SP0x86 profilini kullanabileceğimiz görebiliriz. Aşağıdaki komut ile processleri listeleyebiliriz:

#vol.py -f for400.img --profile=Win7SP0x86 pstree

 

User tarafından başlatılan form.exe ilgilimiz çekiyor. İlgili processi aşağdaki komut ile dump edebiliriz.

#vol.py -f for400.img --profile=Win7SP0x86 procdump -p 2420 -D .

Binwalk ile ilgili dosyayı incelediğimizde ilgili PE dosyanı içerisinde RAR arşivinin bulunduğu görülebilir. Binwalk extract özelliği ile ilgili RAR dosyasını PE dosyası içerisinde çıkartabiliriz.

İlgli RAR dosyasını extract etmek istediğimizde parola korumalı olduğunu göreceğiz. Bu noktadan sonra hafıza imajı dolaşarak olası parolaları tespit etmemiz gerekiyordu. RAR dosyasının parolası  Volatility aracının clipboard plugini ile clipboarddan elde edilebilinmekteydi.

RAR dosyası extract edildiğinde flag elde edilecektir.

its_N0t_A_BuG_it_is_a_feature