[ctf-d] 플래그를 찾아라!

 

 

dump1.raw.lzma 파일의 압축을 푸니 dump1.raw 파일이 나왔다.

raw 확장자를 가지는 파일은 메모리 덤프 파일이기 때문에 volatility를 이용하려고 한다.

(volatility를 사용해 풀었던 문제: https://ziee.tistory.com/83)

 

이 메모리 파일의 profile은 Win10x64인 것을 imageinfo 명령어를 통해 알 수 있다.

 

pstree를 통해 확인해 보니 다른 시스템 프로세스들보다 눈에 띄는 그림판 mspaint.exe의 흔적이 있다.

프로세스 PID는 4092인 것을 확인할 수 있다.

 

mspaint.exe를 덤프 해 보아야 할 것 같다.

(참고: https://aaasssddd25.tistory.com/55)

 

4092.dmp가 추출되었다.

 

 메모리 덤프 속 이미지를 확인하려면 GIMP2를 사용하면 된다고 해서 다운로드를 해 주었다.

(https://www.gimp.org/downloads/)

 

확장자를 dmp에서 data로 바꿔 준 뒤 김프를 통해 열어 보았다.

 

그리고 여기서 가장 오래 걸렸는데... 오프셋 너비 높이를 전부 조정하며 사진이 뜨는 것을 확인해야 한다.

 

오프셋 5537078 너비 1094 높이 1000에서 겨우 찾았다.............

 

 

성공!