M4th

Round-1 дээр орж ирсэн forensics төрлийн M4th нэртэй даалгаврыг яаж хийсэн талаараа writeup хүргэж байна.

.raw өргөтгөлтэй файл бидэнд өгөгдсөн ба volatility tool-г ашиглан эхлээд OS-н мэдээллийг зөв олох ёстой.

python2 vol.py -f round.raw imageinfo

python2 vol.py -f round.raw --profile=Win10x64_19041 pslist

python2 vol.py -f round.raw --profile=Win10x64_19041 memdump --dump-dir=./ -p 1312

xxd 1312.dmp | grep "H.Z.2" -B 10 -A 10

HZ2024{S3CR3T_N0T3P4D_2024}