[CTF-D] GrrCON 2015 #8

해커의 정보가 들어있다고 한다.

해커의 정보가 어디에 들어있을까?

사용자 계정이 생각났다. (마이크로소프트 윈도우 로그인 처럼)

 

그런데 사용자 계정 정보가 어디에 저장되는지 몰라서 검색을 해보았다.

모든 파일과 디렉토리에 대한 정보를 가진 테이블을 MFT 라고 한다는 것을 알게되었다.

 

* MFT(Master File Table) : 볼륨에 존재하는 모든 파일과 디렉토리에 대한 정보를 가진 테이블

 Volatility mft 관련 플러그인을 본 기억이 있다.

 

--help 로 알게 된 플러그인

이 플러그인을 사용하면 뭔가 Flag를 알 수 있을 것 같다.

 

처음에 txt 파일로 변환을 안해줘서 cmd 창에 무한대로 추출되었다.. 껄껄

 

파일이 잘 추출되었다.

 

굉장히 많은 데이터가 있다.

 

여기서 일일히 찾아보기엔 너무 번거롭기 때문에 

아까 처음 유추했던 사용자 계정을 검색해봐야겠다.

 

보통 users를 많이 쓰니 이걸 검색해봐야겠다.

 

 

흠 많은 결과가 나왔지만 이렇게 5개의 계정이 있는 것을 확인했다.

 

이 중 하나일 것 같다.

 

근데 zerocool 일 것 같다. 

왜냐면 FRONT, FRONTD, Public,  ADMINI 은 너무 개성이 없다.

쏘  평범쓰

 

그래서 zerocool 을 검색해보았다.

검색창에 입력만 했음에도 이렇게 의심가는 단어가 나왔다.

hackers? 누가봐도 의심스럽다.

 

이런 영화가 있다는 것을 처음 알았다.

 

🔑 Hackers

클리어!!