Por /

🕵️‍♂️ Reto Forense: Command & Control Level 2

En este reto se nos presenta un volcado de memoria de una estación de trabajo Windows. El objetivo es identificar el nombre del host de la computadora, información que se perdió pero que puede recuperarse a partir del volcado.

🎯 Objetivo

Recuperar el nombre del host de la estación de trabajo desde el volcado de memoria. La flag es el nombre_del_host.

📥 Paso 1: Descomprimir el volcado

El archivo proporcionado está comprimido en formato .tbz2, descomprímelo con:

tar -xvjf ch2.tbz2

Esto genera el archivo ch2.dmp, que es el volcado de memoria.

🔍 Paso 2: Buscar el nombre del host

Usa strings para extraer cadenas legibles del volcado y filtra con grep para encontrar el nombre del equipo:

strings ch2.dmp | grep -i computername

La opción -i permite buscar sin importar mayúsculas o minúsculas.

🏆 Paso 3: Identificar la flag

Entre las líneas que aparecen, habrá una que contenga el nombre del host. Ese es el identificador que buscamos para pasar el reto.

🧠 Conclusión

Este reto demuestra cómo, en análisis forense, los volcados de memoria pueden contener información sensible y clave, como nombres de host, registros de sesión o credenciales. Herramientas simples como strings son muy útiles para extraer estos datos.

🛠️ Herramientas utilizadas

  • tar — para descomprimir archivos comprimidos
  • strings — para extraer texto legible de archivos binarios
  • grep — para filtrar cadenas específicas

✅ ¡Reto completado! El nombre del host encontrado es la flag.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio