일단 imageifo가 오류난다
소문자로 해줘야 했다
ip니까 netscan을 써야 할 거 같았다
왼쪽 PID가 제대로 인식을 못하는 거 같아서 의심스러운 부분이지만 확실한 근거가 없어서 일단 넘겼다
cmdline을 검색했다
해당 문서 이름이 수상하다
dumpfiles를 이렇게 하면 안되는 거 같다
올바르게 입력해줬다 근데 이건 notepad.exe 프로세스 덤프라 버렸다
그냥 filescan을 하면 너무 많이 나와서 파이프로 findstr txt검색했더니
SecreetDocume7.txt의 오프셋이 나온다
오프셋을 이용해서 파일을 덤프해준다. 확장자가 txt가 아니라서 어떻게 하나 했는데 strings.exe라는 툴을 설치하면 된다
위처럼 txt 변환해준다
Key가 올바르게 들어있다!
2번,3번은 풀었는데 1번 김장군 PC의 IP주소가 맞는지 의심만 가고 확실한 근거가 없어서 라업을 참고하기로 했다.
netscan을 돌려보면 나오는 ip 주소는 아래 3개이다.
127.0.0.1
0.0.0.0
192.168.197.138
이중에서 1번째는 localhost이고, 2번째 0은 지정하는 ip없이 모든 ip를 의미하므로 김장군 IP주소는 192.168.197.138이라고 한다.
192.168.197.138SecreetDocume7.txt4rmy_4irforce_N4vy
여기서 소문자로 바꿔줘서 c152e3fb5a6882563231b00f21a8ed5f이 답이다