memdump로 뽑아낸 2996에서 스트링 뽑아낸 그 파일...에서 wce.exe 검색
[*] 앞에서 wce.exe가 windows credential editor라고 했음..
그래서 w.tmp로 다시 검색했지만 얻을 수 있는 것은 없었다.
volatility filescan 플러그인
python vol.py -f Target1-1dd8701f.vmss --profile="Win7SP1x86_23418" filescan | grep "w.tmp"
python vol.py -f Target1-1dd8701f.vmss --profile="Win7SP1x86_23418" dumpfiles -Q 0x000000003eca37f8 -D ./
flagadmin@1234
'워게임 > CTF-D' 카테고리의 다른 글
| [Memory] GrrCON 2015 #13 (0) | 2021.12.13 |
|---|---|
| [Memory] GrrCON 2015 #12 (0) | 2021.12.13 |
| [Memory] GrrCON 2015 #10 (0) | 2021.12.13 |
| [Memory] GrrCON 2015 #9 (0) | 2021.12.13 |
| [Memory] GrrCON 2015 #7 (0) | 2021.12.13 |
댓글