アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

10桁のパスワードを発見せよ

分野:フォレンジック
得点:???*1

フォレンジック調査の為、担当者が現地に到着したところ、ユーザーがパソコンを利用している最中でした。即座にユーザーにはパソコンから離れていただき、画面の状況を確認したところ、WinRAR の画面上でパスワードを入力し、まさにこれからファイルの伸張を行うところでした。(この様な状態で保全作業が行われるのは極めて希なケースと言えます)

担当者は画面上に入力されていたパスワードが今後の調査で役立つ可能性を考え、アスタリスク表示を戻すことその場で試行*2しましたが、残念ながらアスタリスク状態のパスワードを平文で確認することができませんでした。(なお、アスタリスクの文字は10文字ありました)
担当者はメモリイメージ内からパスワードを取り出す事が可能かもしれないと考え、稼働中システムのメモリイメージを win32dd ツールを使い取得しました。*3

WinRAR でパスワードを解除しようとしていた対象のRARファイルは、ファイルシステム上で特定する事ができましたが、ファイルの内容を確認するにはパスワードが必要です。*4
入力されていたアスタリスクの文字が10文字あったこと、また使われている文字列としては大文字・小文字、数字や記号などが混在している可能性もある事から、ブルートフォースによる解除は現実的ではありません。(該当ユーザーが他に使っていたパスワードも試行されましたが一致するものはありませんでした。また他で使われていたパスワードはランダムな記号等を含む文字列を利用したものが多く、複雑なパターンが利用されている状況でした)

この為、現地で保全されたメモリイメージ内からパスワード文字列を探し出す必要があります。
保全されたメモリイメージからパスワードを発見し、RARファイルのパスワードを解除してください。

メモリイメージ:memdump.raw または memdump.dmp
解除対象ファイル:Kanipass.rar

*1:素案の段階で結構簡単に解かれちゃいましたので、実際のところ何点くらいが妥当なのかわからないです

*2:揮発性情報やディスクへの書き込みなどの懸念から作業は最小限の対応のみ実施されました

*3:RAW形式とクラッシュダンプ形式の両方が念のため取得されています

*4:パスワード入力画面のスクリーンショットとメモリダンプしたら、そのまま展開させればよいではないか!という突っ込みは無しです