11日目。

[Day 11] Not all gifts are nice

分野は Memory Forensics。ダンプされたメモリファイルの中身を Volatility を使って見ていく。

What is the Windows version number that the memory image captured?

volatility3 ディレクトリに移動して python3 vol.py -f workstation.vmem windows.info コマンドを実行する。

PE MajorOperatingSystemVersion の値を見て回答する。

What is the name of the binary/gift that secret Santa left?

python3 vol.py -f workstation.vmem windows.pslist コマンドでプロセス一覧を見る。問題文から gift に関するプロセスと察して回答する。

What is the Process ID (PID) of this binary?

解説・hint の通り python3 vol.py -f workstation.vmem windows.psscan コマンドを実行する。問題文の "the Process" は前問の答えのプロセスのことを指すので grep コマンドと組み合わせるとわかりやすい。

Dump the contents of this binary. How many files are dumped?

windows.dumpfiles を使い、プロセス ID を指定するとファイルをダンプ（出力）できるので python3 vol.py -f workstation.vmem windows.dumpfiles --pid <Process ID> コマンドを実行し、出力されたファイルの数を回答する。

If you want to learn more about Volatility, please check out a dedicated room here. For more content on forensics, we have a full Digital Forensics and Incident Response module for you!

No answer needed

感想

今回は解答のヒントや実行すべきコマンドが明確だったので非常にわかりやすかった。個人的には windows.pslist プラグインと windows.psscan プラグインの違いがよくわからなかった。