주어진 파일을 analyzeMFT 툴을 이용해 정돈된 형태로 출력했다.
내보낸 엑셀 파일에서 'exe'를 찾으려고 했다. '악성파일, 프리패치, 레지스트리 및 이벤트 로그와 같은 모든 흔적'이라고 언급했기 때문에 일단 exe 실행 파일 중 수상한 것이 있을 수도 있다는 생각 때문이었다.
검색 결과 setup.exe, WinHex.exe, upgrader.exe 그리고 r32.exe를 찾을 수 있었다. 그 중 r32.exe가 누가봐도 수상해보인다. 문제 지문에서 흔적을 지우려고 시도했다는 정보를 주었기 때문에 휴지통에 위치하며 프로그램명이 익숙지 않은 r32!가 범인이다.
r32.exe에 관한 정보만 따로 뽑아 메모장에 복붙한 것이다. 여기서 생성 시간을 찾을 수 있다.
2012-02-22 17:39:18.8974610 -> (UTC + 9) 2012-02-23 02:39:18.8974610
728x90
'Wargame > ctf-d.com' 카테고리의 다른 글
| [ctf-d Network] DefCoN#21 #4 (0) | 2021.05.23 |
|---|---|
| [ctf-d Network] DefCoN#21 #3 (0) | 2021.04.26 |
| [ctf-d Network] DefCoN#21 #2 (0) | 2021.04.26 |
| [ctf-d Network] 조용할수록 더 귀를... (1) | 2021.04.25 |
| [ctf-d DISK] 2012_CodeGate_F200 (서울에 사는 IU가 특정 웹 …) (0) | 2021.03.14 |