Find me Back


Junior’s still a geek and treated himself with the new trendy device that everyone in his computer science school has.But he hasn’t mastered this new tool yet! He comes to you for help recovering some documents he has to turn in for his forensics course.
sha256 checksum :0928827a1b37a035de3f3dadf6cafb90569d9dfc36bb120ffacba7fd61978acb ch25.xz
다운받은 이미지를 보면 뭔지를 모르겠으므로 조사를 해봅시다
tar.xz 파일이네요
압축 해제해서 옵시다
s3cr3t.raw를 분석해 봤는데, Apple Core Storage이고, 암호화된 상태임을 알 수 있었다.
그럼 findmeback.dmp가 메모리 이미지겠다. 이는 volatility 로 한번 분석해 보도록 하자.