경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전 삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다. 경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트랙픽 모니터링을 통해 확인 하였고, 해당 트래픽 또한 증거로 가지고 있으나 결정적인 증거가 없어 해당 다운로더를 기소하지 못하고 있다. 그래서 경찰청은 그대들에게 다음과 같이 요청한다. “다운로더를 기소할 수 있는 결정적인 증거를 찾아주세요!”
KEY Format : SHA1("md5(Evidence File)_Download Time")
Download Time: KST, YYYY/MM/DD_HH:MM:SS
다음 경로에서 uTorrent라는 폴더를 발견했다. 불법 다운로드의근원지...
Users/Administrator/AppData/Roaming
해당 폴더 안에는 여러 dat 파일이 존재했다. .
구글링을 통해 각 dat 파일이 의미하는 것을 알 수 있었고, 그 중 settings.dat 파일을 보니 파일 경로들이 보이는 것 같아서 자세히 볼 것이다
다른 툴을 이용할 순 있겠지만 귀찮아서 그냥 메모장으로 열었다. 그 중 'CodeGate_Forensic' 이라는 계정명과 함께 파일 경로가 보였다. 해당 경로로 이동해보자.
Users/CodeGate_Forensic/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup
그 곳에는 '052b585f1808716e1d12eb55aa646fc4984bc862'라는 이름의 파일이 존재했다. 내가 알기론 시작 프로그램 등록하는 곳인데 이걸?;
해당 파일을 열어보니 'TorrentRG.com'이라는 문자열이 보였다. 이를 통해 파일 다운로드와 관련된 파일임을 확신했다.
동시에 파일을 다운로드한 시간도 알 수 있었다. 수정시간 말고 생성 시간을 보자..
별개의 얘기지만 해당 URL을 가봤더니 더러운 남초 커뮤니티가 나왔다.. 역시 아동 음란물 다운로더들 답다.
암튼 해당 파일의 MD5도 추출해서 플래그 형식을 맞춰보자.
flag: SHA1("449529c93ef6477533be01459c7ee2b4_2012/12/24_04:37:09") 라고 생각했는데 아니었다.
FTK는 한국 시간을 안쓰기 때문이다.. UTC+0 이므로 9시간을 더해주자! 그리고 MD5값도 대문자로 해야한다.
flag: SHA1("449529C93EF6477533BE01459C7EE2B4_2012/12/24_13:45:43") =
0100a4cdfdbb366125e736dad7023527dcbaa5b9
'Wargame > ctf-d.com' 카테고리의 다른 글
| [ctf-d DISK] 2012_CodeGate_F300 (IU는 악성코드에 의해 감염된…) (0) | 2021.03.14 |
|---|---|
| [ctf-d DISK] 2012_Defcon20_F100-find_key (Find Key(slack)) (0) | 2021.03.07 |
| [ctf-d Network] woodstock-1 (0) | 2021.02.28 |
| [ctf-d Network] Sans Network Forensic [Puzzle 3] #1 (0) | 2021.02.28 |
| [ctf-d DISK] X 회사의 재정 정보를 훔치기… (0) | 2021.02.28 |