3.4 기가짜리 윈7 파일을 받았다.
먼저 HxD로 까봤더니, EGG 파일이라고 한다.
그래서 이렇게 확장자를 바꿔보고
압축을 풀어봤다.
뭔가 반가운 마음에(?) vmx를 열어봤는데, 부팅되자마자 아래 창이 뜨더니 30초 단위로 무한 재부팅되길래 -a 옵션으로 취소를 일단 시켰다.
동시에 FTK Imager를 통해 vmdk도 열어봤다.
1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다.
일단 지문대로 네이버에 들어가봤다. 진짜 워닝이 뜬다.
이거는 DNS 매핑 문제 때문일 것이다. hosts 파일에서도 관리할 수 있다고 본 것 같다..
아래 경로로 들어가서 hosts를 찾았다.
가상머신 윈도우에서는 숨김 파일 보기 처리해주면 되는데 귀찮아서 그냥 안했다... hosts 파일 보니까 키를 발견할 수 있었다.
2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자)
'키로거'라고 해서 일단 수상해보이는 실행 파일을 찾아야하는데, 많고 많은 파일 중에 실행 파일 하나 찾으려니 답이 없어 보였고 그걸 문제 출제자도 알 거라고 생각해서 루트로 이동했더니 역시 수상한 디렉터리가 있었다. 'v196vv8'
여기에서 2개의 실행 파일을 먼저 발견했다.
'v1valv' 디렉터리에 들어가니까 또 2개의 dat 파일이 있었고
그 중 'z1.dat' 파일에서 key를 볼 수 있었다. 얘는 4번 답이다.
4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.
이젠 2번 답을 특정해야 하는데, 찾은 실행 파일이 2개기 때문에 더 단서를 찾아봐야 했다.
아래 경로에 'ss' 디렉터리가 있었고 그 안에 여러 개의 jpg 파일이 있었다.
그리고 그 중 99.jpg 파일을 추출했다.
메모장 창을 보면 일단 저 파일의 이름은 'z1.dat'. 그 옆 Process Explorer를 보면, 가장 밑에 'v1tvr0.exe'라고 써져있다. 잘려있지만, 키로거를 특정할 수 있는 확실한 단서다. 이로써 두번째 답도 찾았다.
2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자)
c:\v196vv8\v1tvr0.exe
3. 키로거가 다운로드 된 시간은?
다운로드된 시간.. 툴을 써서 볼 수도 있겠지만, 내 경우에는 아까와 같이 'ss' 폴더의 수많은 jpg 파일에서 단서를 찾았다.
삽질 중 397.jpg에서 keylogger를 다운받았다는 이력과 함께 2016-05-24_04:25:06이라는 시간 정보를 볼 수 있었다. 역시 이미지 파일을 그냥 넘기지 않은 건 잘한 것 같다.
Auth Key = lowercase(MD5(Key of Q1+Answer of Q2+Answer of Q3+Key of Q4))
Auth Key = lowercase(MD5(what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man)) = 970f891e3667fce147b222cc9a8699d4
'Wargame > SuNiNaTaS' 카테고리의 다른 글
| SuNiNaTaS 13 (200pt) (0) | 2020.11.27 |
|---|---|
| SuNiNaTaS 30 (FORENSICS 366pt) (0) | 2020.08.24 |
| SuNiNaTaS 26 (FORENSIC 200pt) (0) | 2020.08.15 |
| SuNiNaTaS 21 (FORENSIC 221pt) (0) | 2020.08.15 |
| SuNiNaTaS 19 (FORENSICS 154pt) (0) | 2020.07.26 |