# HackTheBox Forensics Reminiscent Writeup

# 概要

Suspicious traffic was detected from a recruiter's virtual PC. A memory dump of the offending VM was captured before it was removed from the network for imaging and analysis. Our recruiter mentioned he received an email from someone regarding their resume. A copy of the email was recovered and is provided for reference. Find and decode the source of the malware to find the flag.

  • キャプチャしたメモリダンプを解析して, マルウェアのソースを見つけてデコードし, フラグを見つけろ
  • 感染経路はメールの添付ファイルっぽい
  • 添付ファイルのついた電子メールのコピーは参照用に提供される

# solve

  • unzipして出てきたファイルは以下の3つ
    • flounder-pc-memdump.elf
    • imageinfo.txt
    • Resume.eml
  • テキストファイルから見てみる
    • PCに関する情報が書かれていた
    • Imageが取られた時間は, 2017-10-14 18:07:30 UTC+0000
    • localtimeは 2017-10-04 11:07:30 -0700らしいので, アメリカの西海岸らへんらしい
  • 次にemlファイルを見る

Hi Frank, someone told me you would be great to review my resume.. cuold you have a look? resume.zip

  • どうやらマルウェアはhttp://から持ち込まれたっぽい
Last Updated: 4ヶ月前