分野：フォレンジック
得点：???*1

フォレンジック調査の為、担当者が現地に到着したところ、ユーザーがパソコンを利用している最中でした。即座にユーザーにはパソコンから離れていただき、画面の状況を確認したところ、WinRAR の画面上でパスワードを入力し、まさにこれからファイルの伸張を行うところでした。(この様な状態で保全作業が行われるのは極めて希なケースと言えます)

担当者は画面上に入力されていたパスワードが今後の調査で役立つ可能性を考え、アスタリスク表示を戻すことその場で試行*2しましたが、残念ながらアスタリスク状態のパスワードを平文で確認することができませんでした。（なお、アスタリスクの文字は10文字ありました）
担当者はメモリイメージ内からパスワードを取り出す事が可能かもしれないと考え、稼働中システムのメモリイメージを win32dd ツールを使い取得しました。*3

WinRAR でパスワードを解除しようとしていた対象のRARファイルは、ファイルシステム上で特定する事ができましたが、ファイルの内容を確認するにはパスワードが必要です。*4
入力されていたアスタリスクの文字が10文字あったこと、また使われている文字列としては大文字・小文字、数字や記号などが混在している可能性もある事から、ブルートフォースによる解除は現実的ではありません。(該当ユーザーが他に使っていたパスワードも試行されましたが一致するものはありませんでした。また他で使われていたパスワードはランダムな記号等を含む文字列を利用したものが多く、複雑なパターンが利用されている状況でした)

この為、現地で保全されたメモリイメージ内からパスワード文字列を探し出す必要があります。
保全されたメモリイメージからパスワードを発見し、RARファイルのパスワードを解除してください。

メモリイメージ：memdump.raw または memdump.dmp
解除対象ファイル：Kanipass.rar