Seviye 1 Soru 13

Bu soruda yarışmacılardan beklenen verilen ram imajının analiz edilerek imaj içerisinde bulunan  lokasyon bilgisine erişmeleriydi.

Öncelikle verilen imaj içersindeki verilere erişebilmek için herhangi bir araç ile imajın içindeki verilerin okunabilir hale getirilmesi gerekmekteydi.Bu işlem için hafıza analiz  araçlarından biri olan Volatility kullanılabilir.

Öncelikle Volatility aracı kullanılarak sistem imajı alındığı sırada hangi proseslerin çalıştığı listelenebilir.Bu şekilde birçok veri içerisinden bayrağın nerede olabileceği daha kolay tahmin edilebilir olacaktı.


Yukarıda da görüldüğü üzere sistem imajı alınması sırasında çalışan proses listesi sıralanmıştır.Sistemin tamamen dump'ının alınması ve bütün veriler arasından bayrağı aramak yerine sadece belirli proseslerin dump'ı alınarak bayrak arama işlemi kolaylaştırılabilirdi. Prosesler arasından notepad.exe prosesine ait dump alınarak bayrak'a ulaşılabilecekti.

Sadece notepad.exe prosesine ait dump alma işlemi notepad.exe id'si verilerek şu şekilde gerçekleştirilebilirdi.

Bu işlem sonucu elde edilen 1064.dmp isimli dosyaya herhangi bir text editör(notepad,notepad++) ile bakıldığında içersinde bir harita lokasyon bilgisi gösteren link olduğu görülecekti.

Elde edilen link ziyaret edildiğinde bilgisayar kullanıcısının nereyi ziyaret etmek istediği görülecekti.
Verilmesi beklenen cevap : YEREBATAN SARNICI idi.