ファイル physmemraw が与えられ、以下を要求された。
A file physmemraw was given and these things were asked:
imageinfo を実行したが、Profileの候補は何も出てこなかった。
Volatility 3 v1.0.0 を用意し、README.md に例として書かれていた windows.info を実行すると、以下の出力が得られた。
I ran imageinfo with
I prepared Volatility 3 v1.0.0 and ran windows.info, which was introduced as an example in README.md, obtaining this output:
volatility3_windows_info_res.txt
Referring
List of Microsoft Windows versions - Wikipedia
を参照すると、バージョン 19041 は「Windows 10 version 2004」や「Windows Server, version 2004」に対応しているようである。
また、
I found that the version 19041 corresonds to "Windows 10 version 2004" and "Windows Server, version 2004".
Also, referring
Operating System Version - Win32 apps | Microsoft Docs
を参照すると、バージョン 10.0 は「Windows 10」「Windows Server 2019」「Windows Server 2016」に対応しているようである。
そこで、OSのバージョンはこれらに共通している「Windows 10」であると推測した。
Is64Bit が True になっていることから、ビット数は 64 であると推測できる。
時刻に関係しそうなのは、以下の2項目があった。
I found that the version 10.0 corresponds to "Windows 10", "Windows Server 2019", and "Windows Server 2016".
Seeing this, I guessed that the OS version is "Windows 10", which is common in the two pages.
I guessed that the number of bits is 64 because Is64Bit is True.
I found these 2 items that look related to time:
2068年というのは不自然であり、データの取得に失敗したのだと考えられる。
SystemTime は自然な時刻であるが、タイムゾーンがわからない。
とりあえずそのまま入れると、flagが得られた。
The year 2068 looks weird and I thought it means it failed to retrieve the data well.
The value of SystemTime looks natural, but the timezone is unknown.
I obtained the flag by using the time as-is.