Hack4S3cur1ty
[OTTERCTF][Memory Forensics] 13 - Closure 본문
이제 패스워드를 알아냈으니 암호화된 파일을 복호화 할 수 있다.
이미 널리 알려진 랜섬웨어(https://github.com/m0n0ph1/malware-1/tree/master/Hidden-tear)고,
Decrpyter(https://www.bleepingcomputer.com/download/hidden-tear-decrypter/)또한 쉽게 구할 수 있다.
filescan과 dumpfiles를 통해 암호화된 파일을 추출한 뒤,
1 2 3 4 5 6 7 8 9 | >vol.py -f OtterCTF.vmem --profile=Win7SP1x64 filescan Offset(P) #Ptr #Hnd Access Name ------------------ ------ ------ ------ ---- 0x000000007e410890 16 0 R--r-- \Device\HarddiskVolume1\Users\Rick\Desktop\Flag.txt >vol.py -f OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -D ./res Volatility Foundation Volatility Framework 2.6 DataSectionObject 0x7e410890 None \Device\HarddiskVolume1\Users\Rick\Desktop\Flag.txt | cs |
Decrpyter에 맞게 적절히 파일 이름과 디렉토리를 만들어주고 패스워드를 넣으면 복호화가 된다.
'CTFs > 2018' 카테고리의 다른 글
| HITB CTF 2018 $wag team Write-Up (0) | 2019.02.16 |
|---|---|
| [OTTERCTF][Memory Forensics] 12 - Recovery (0) | 2018.12.16 |
| [OTTERCTF][Memory Forensics] 11 - Graphic's For The Weak (0) | 2018.12.16 |
| [OTTERCTF][Memory Forensics] 10 - Bit 4 Bit (0) | 2018.12.16 |
| [OTTERCTF][Memory Forensics] 9 - Path To Glory 2 (0) | 2018.12.16 |
'CTFs/2018' Related Articles
more
Comments