[日本語] [English]

Window Pains 3

Window Pains で使ったファイルについて、 悪意のあるプロセスの名前を要求された。

Volatility 3 を用い、vol.py -h の出力から使えそうなものを探すと、以下のものがあった。

    windows.malfind.Malfind
                        Lists process memory ranges that potentially contain injected code.

この windows.malfind.Malfind の結果から grepexe を含む行を抽出すると、以下の結果が得られた。

malfind_grep_exe.txt

この結果には5種類のプロセスが含まれ、ここから以下の5種類がflagの候補として挙がった。

この問題のattempt数の制限はちょうど5回までだったので、これらの候補を順に試したところ、最後の候補がCorrectとなった。

flag{userinit.exe_8180}

writeup by MikeCAT

DEADFACE CTF