Job Interview

파일이 좀 이상하다 파일시스템이 아닌거같다.
FTK 이미저로 열어서, bmcache24라는 문자열이 보였다.
RDP 세션 캐시라고 하는 값인데 관련 논문이 하나도 없네
암튼 이를 분석해주는 도구가 이미 존재한다고 한다. 비트맵 이미지를 만들어주는거 같은데 bmcache24니까 32비트짜리 이미지다.
직접 툴을 만들건 아니니까
bmc-tools
ANSSI-FR
에 적용해서 돌렸는데
에러가 난다
이 부분 때문인거 같다. 구조를 타고 내려가면
이 부분부터가 비트맵 시작 부분이라고 했기 때문이다. 사실 진짜 bmcache24.bmc 파일과 비교해보는 방법이 제일 정확한데 이부분은 실패했다
→ 휘발성 파일이라 연결이 끊어지면 없어지기도 하고, 그냥 했다.
0x200 위치에서부터를 시작값으로 주니 잘 파싱을 해주는 것을 확인했다.
500개 보는거쯤이야 노가다 할만하다
이렇게 3개가 나왔다. 무조건 이게 플래그긴 하다.
Flag: RdP_l3av3s_Trac3S