gimp2

플래그를 찾아라 Write-Up

문제플래그를 찾아라! Write-Up문제에 존재하는 문자열을 볼 때 volatility 을 사용하는 것을 알 수 있다. 또한, 분석 대상 파일 뒤에 profile 정보가 포함되는 것으로 볼 때 volatility2 를 사용한 것으로 유추하였다.volatility 명령어 해당 문제에서 제공받은 파일의 압축을 해제하면 dump1.raw 파일이 생성되며 해당 파일을 메모리 분석 대상 파일로 사용하면 된다. 비록 문제에서 imageinfo에 대해서 제공을 하였지만 다른 imageinfo 존재 여부 확인을 위해 다음과 같은 명령어를 수행하여 imageinfo 정보를 확인하였다.volatility_2.6_win64_standalone.exe -f [메모리 분석 대상 파일] imageinfodump1.raw imag..