There is a computer incident. We have collected the memory dump of the victim's computer. Can you guys help us to retrive some evidence?
author: pakkunandy
Mình sử dụng công cụ volatility để phân tích file memory dump
Đầu tiên mình xem thử clipboard và cmd (lý do ở phần dưới) có gì
Aha, được 2 hint là flag tìm online, vậy có thể là 1 file online, hoặc là 1 cái gì đó liên quan đến việc kết nối ra mạng. Hint thứ 2 là part 1 của password
Sau đó, mình tiếp tục dò lại danh sách process (lần trước mình thấy cmd.exe và conhost.exe nên đã cmdscan)
Và thầy có 1 process của notepad, nên mình dump ra để phân tích
Và in các chuỗi có chứa cụm "flag"
Xuất hiện cụm flag.txt.txt nên mình tìm xem trong memory về file có tên đó
Và đúng là có file đó trong memory, vậy mình dump file đó ra để đọc. (0x000000001e903f20 là offset của file trong memory)
Vậy tới đây mình đã có password hoàn chỉnh là SuP3r_P@zzw0rD. Quay lại với hint đầu tiên, là cần tìm file flag online. Và khi nãy mình list các process thì thấy có chrome.exe. Vậy mình sử dụng chromeplugin cho volitality xem history
Vậy mình tải file từ đường dẫn đó, sử dụng password đã tìm để unzip và được flag
HCMUS-CTF{simple_memory_forensics_stuff}