워게임 - code & art

 

code.bmp파일을 visual studio로 열어주면 요론 바코드 모양의 이미지가 열림

문제에서 '이게 정말 바코드일까?' 이런 말을 힌트로 줬기 때문에 이건 바코드가 아니라 다른 형태일 것 같음

 

hxd로 열어보니, BMv가 보임

BMP (Bitmap) 파일: 마이크로소프트 윈도우에서 사용하는 표준 비트맵 이미지 포맷입니다. 

압축하지 않고 비트를 그대로 저장해서 메모리 용량을 많이 차지하는 단점이 있지만, 표현이 직관적이어서 분석이 용이하다는 장점이 있다.

얘를 png나 jpeg로 변환하면 압축하게 되는 것임

흠 뭐지....딱히 뭘 봐야할지 감이 안잡힘...

진짜 뭐지...하나도 모르겠어서 구글링을 해줌...ㅎㅎ

 

이걸 보면 제일 밑에 있는 검은 점 사이의 간격이 8칸으로 일정한 간격을 보이고 있고

검정, 하양 2가지 색을 0과 1로 표현할 수 있으니까..!

2진수로 치환해야 하는 문제라고 한다....

(와 이걸 어떻게 생각하지이...)

 

그렇다면 하양을 0으로, 검정을 1로 치환해서

01101110 먼저 하나만 해봤는데 뭔가 아닌 것 같아서

하양을 1, 검정을 0으로 해봤더니 H로 뜨는걸 봐서 flag를 알려줄 것 같음

1001000

변환해주면 끝!!

 

 

한 문제 더 풀도록 하겠음

 

data.mp4음성파일을 다운로드 받아줌

"불 좀 꺼주겠니?, 내 RAM 좀 봐봐" --> 컴퓨터 RAM(메모리) 뭔가를 분석하라는 건가?

 

너를 재생시켜보려고 하는데 파일 형식이 올바르지 않은 것 같음

 

그럼 일단 .mp4파일은 아닌 것 같고 hxd로 어떤 파일인지 좀 봐야겠음

일단 vbox facp가 뭔지 찾아봤음(vbox = virtual box)

virtual box의 FACP는 가상 머신의 전원 관리 기능(절전 모드, 종료 등)을 정의하는 테이블이라고 함. 

아 그래서 아까 불을 끄라고 한건 전원을 끄라고 하는건가?

 

파일확장자명을 .vbox로 해서 virtual box로 열어보려고 했는데 머신을 열 수 없다고 나옴

(요 확장자는 아니고 좀 더 찾아보겠음)

 

계속 보다가 파일 크기가 너무 컸고, 찾아보니까 메모리 덤프가 컴퓨터 RAM의 모든 데이터를 파일(.dmp)로 저장하는 거였으니까..! 왠지 이 파일은 메모리 덤프 파일인 것 같음.

--> 그래서 volatility를 이용해볼것임!!(오 되게 오랜만이다;;)

 

너무 오랜만에 해서 옵션을 살펴봐줬음ㅎㅎ

플러그인도 꼼꼼하게 봐줬음(뭘 써야할지 모르겠어서 그냥 한 번 쭉 보면서 확인함) 

오 진짜 많다..............

 

일단 -f data.mp4 imageinfo를 해서 메모리 덤프의 운영체제를 알아봄

--> Win7어쩌고가 제일 먼저 보이는데 일단 window7운영체제를 쓰는 것 같음

 

그 다음에 pslist로 어떤 프로세스들이 있었는지 시간 순서대로 나온 것을 확인해줌

뭐 이렇게 할 건 없고..다른 것도 해줬음

 

pstree나 psscan이나 딱히 별게 없어서 cmdscan으로 콘솔에 입력된 것들을 확인해봄

cmd 입력창을 확인해보니까 바탕화면에 들어가서 폴더 목록을 확인하고 dumpit.exe를 실행함

*DumpIt.exe은 윈도우의 메모리 덤프를 떠주는 tool --> 이 파일이 메모리 덤프 파일이라는 건 확실해졌고 

dir이 좀 수상해서(폴더 목록을 봤다는거) 어떤 플러그인을 쳐야하는지 구글링해보니까 filescan으로 모든 폴더들을 확인할 수 있다고 함 --> 여기에 flag도 있는거 아닌가///

가짓수가 너무 많아서 log파일로 저장해줌 

 

노트패드로 열어서 이것저것 쳐보다가 flag쳐봤는데 flag.bmp가 보임

아까 봤던 너..........

위치도 바탕화면에 바로 있고..뭔가 너에 flag가 잇을 것 같아서 추출을 해주겠음

추출하는 법을 까먹어서..구글링을 해주니까

Volatility에서 파일을 추출하는 방법은 주로 filescan으로 대상 파일의 주소(Offset)를 찾은 후 dumpfiles 플러그인을 사용하여 파일 내용을 파일 시스템으로 덤프하는 과정

이라고 함

flag.bmp의 offset: 0x000000007db82b30

volatility -f <메모리덤프파일> --profile=<프로파일> dumpfiles -Q <파일의_Offset> -D <저장할_디렉토리>

이렇게 입력을 똑같이 해주면

이 파일의 확장자를 .bmp로 나타내면

flag가 나옴!(아,,어렵다...)