DUMPling
Description
hufttt, saya lupa dimana menyimpan folder flag nya :(
chall
Author: millkywaay
Kita diberikan file memory dump bernama chall.raw. Untuk menganalisis file memory dump, kita bisa menggunakan tool Volatility. Di waktu kompetisi, saya tidak berhasil melakukan dumpfiles sebagaimana pada soal tahun lalu menggunakan volatility 2, untuk alasan yang tidak saya ketahui.
Setelah kompetisi selesai, saya mendapatkan info cara solve yang menggunakan volatility 3. Jadi pertama-tama, kita menggunakan command berikut: vol -f chall.raw windows.filescan | grep -Fi "flag".
Jika membukaclue.txt menggunakan dumpfiles, kita akan diarahkan untuk membuka flag1.png dan flag2.png (kita telah menemukan kedua file tersebut di atas).
Dumpfiles bisa kita lakukan dengan command berikut: vol -f chall.raw windows.dumpfiles --virtaddr 0xa80953ebc870
Flag: TechnoFair11{You_fiNd_THe_fLaG}
Kesimpulan
vol -f chall.raw windows.filescan | grep -Fi "flag"vol -f chall.raw windows.dumpfiles --virtaddr 0xa80953ebc870Sebaiknya, gunakan kedua versi dari Volatility
Last updated