11日目。
[Day 11] Not all gifts are nice
分野は Memory Forensics。ダンプされたメモリファイルの中身を Volatility を使って見ていく。
What is the Windows version number that the memory image captured?
volatility3 ディレクトリに移動して python3 vol.py -f workstation.vmem windows.info
コマンドを実行する。
PE MajorOperatingSystemVersion の値を見て回答する。
What is the name of the binary/gift that secret Santa left?
python3 vol.py -f workstation.vmem windows.pslist
コマンドでプロセス一覧を見る。問題文から gift に関するプロセスと察して回答する。
What is the Process ID (PID) of this binary?
解説・hint の通り python3 vol.py -f workstation.vmem windows.psscan
コマンドを実行する。問題文の "the Process" は前問の答えのプロセスのことを指すので grep
コマンドと組み合わせるとわかりやすい。
Dump the contents of this binary. How many files are dumped?
windows.dumpfiles
を使い、プロセス ID を指定するとファイルをダンプ(出力)できるので python3 vol.py -f workstation.vmem windows.dumpfiles --pid <Process ID>
コマンドを実行し、出力されたファイルの数を回答する。
If you want to learn more about Volatility, please check out a dedicated room here. For more content on forensics, we have a full Digital Forensics and Incident Response module for you!
No answer needed
感想
今回は解答のヒントや実行すべきコマンドが明確だったので非常にわかりやすかった。個人的には windows.pslist
プラグインと windows.psscan
プラグインの違いがよくわからなかった。