Đây là đề bài for100 và các bạn có thể down file tại đây: https://app.box.com/s/vinorlprn6rq3qahv9wl
Bài này thật sự là rất đáng tiếc vì lúc thi mình không nghĩ ra bài này :( . Lúc về được gợi ý của anh @ẩn sĩ mình đã ra bài này. Để có thể giải bài này các bạn phải biết dùng 1 công cụ là volatility. Đâu tiên mình phải xem info bằng lệnh: vol -f memorydump.raw imageinfo
Tiếp để xem có những chương trình nào mình dùng lệnh: vol -f memorydump.raw pslist
Mình sử dụng đến hint 2: theo dõi tiến trình của mã độc. Nhưng ở đây có quá nhiều chương trình mình ko thể biết được chương trình nào chưa mã độc. Mình đã mắc ở đây và không giải được bài này. Lúc về có hỏi anh ẩn sĩ mới biết là mã độc có 1 tiến trình kết nối đến 1 server, mình dùng lệnh: vol -f memorydump.raw connections
Bạn để ý đến Remote Address có cũng nhiều ip, và mình thử kết nối đến các ip và thấy được ip 203.128.246.78:24788 là đúng, và mình đã lấy được 1 đoạn base64 ở trên đó.
Bạn để ý đến Remote Address có cũng nhiều ip, và mình thử kết nối đến các ip và thấy được ip 203.128.246.78:24788 là đúng, và mình đã lấy được 1 đoạn base64 ở trên đó.
Công việc bây giờ là decode base64 và submit thôi.
0 comments:
Post a Comment