Escrito por José Ricardo (ricard0xf)

Bora

Então, devido alguns pedidos vou mostrar a resolução desse desafio que foi proposto na "Dumont Fest CTF". Ele é classificado como forense, então bora!

Primeiramente, temos um arquivo "easy.rar" para baixar, depois do download, a extração nos mostra que tem um arquivo "memdump.mem".

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/6793c651-7427-48e2-a29c-20202f2b362f/1.png

Logo já pesquisei o nome do arquivo no Google e tenho umas respostas interessantes. Parece que esse arquivo é uma "imagem" da memória RAM, ou seja, dentro do arquivo tem várias informações dos processos que estavam rodando no momento em que foi feito esse "dump" da memória. Mais informações sobre essa técnica podem ser encontradas aqui:

Digital Forensics, Part 2: Live Memory Acquisition and Analysis

Nesse mesmo artigo, já mostra uma ferramenta que faz a análise desse arquivo, cujo nome é "Volatility". No Kali Linux eu creio que ela já vem instalada, mas como estou usando Manjaro, instalei pelo Github deles:

GitHub - volatilityfoundation/volatility: An advanced memory forensics framework

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/1930009c-6434-4cd1-bafe-c12e59806bce/3.png

Naquele artigo que passei, tem um guia de como usar a ferramenta, então vou seguindo os passos dele mesmo. Primeiramente temos que pegar o "perfil" da imagem, isso vai nos ajudar a identificar o Sistema Operacional, endereços de memória, etc. Para isso, é usada a flag "imageinfo" da ferramenta:

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/432460ff-7930-4e89-af15-e3f38e184261/4.png

A ferramenta identificou algumas informações sobre o computador, mas o que vai ser mais importante aqui é o "profile", ou seja, o Sistema Operacional (Win7SP1x64).

Bom, agora começa uma saga em busca de informações, primeiramente busco por processos, e identificar alguns dos que podem trazer informações úteis: