SuNiNaTaS 29 (FORENSICS 266pt)

3.4 기가짜리 윈7 파일을 받았다.

먼저 HxD로 까봤더니, EGG 파일이라고 한다.

그래서 이렇게 확장자를 바꿔보고

압축을 풀어봤다.

뭔가 반가운 마음에(?) vmx를 열어봤는데, 부팅되자마자 아래 창이 뜨더니 30초 단위로 무한 재부팅되길래 -a 옵션으로 취소를 일단 시켰다.

동시에 FTK Imager를 통해 vmdk도 열어봤다.

1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다.

일단 지문대로 네이버에 들어가봤다. 진짜 워닝이 뜬다.

이거는 DNS 매핑 문제 때문일 것이다. hosts 파일에서도 관리할 수 있다고 본 것 같다..

아래 경로로 들어가서 hosts를 찾았다.

가상머신 윈도우에서는 숨김 파일 보기 처리해주면 되는데 귀찮아서 그냥 안했다... hosts 파일 보니까 키를 발견할 수 있었다.

2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자)

'키로거'라고 해서 일단 수상해보이는 실행 파일을 찾아야하는데, 많고 많은 파일 중에 실행 파일 하나 찾으려니 답이 없어 보였고 그걸 문제 출제자도 알 거라고 생각해서 루트로 이동했더니 역시 수상한 디렉터리가 있었다. 'v196vv8'

여기에서 2개의 실행 파일을 먼저 발견했다.

'v1valv' 디렉터리에 들어가니까 또 2개의 dat 파일이 있었고

그 중 'z1.dat' 파일에서 key를 볼 수 있었다. 얘는 4번 답이다.

4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.

이젠 2번 답을 특정해야 하는데, 찾은 실행 파일이 2개기 때문에 더 단서를 찾아봐야 했다. 

아래 경로에 'ss' 디렉터리가 있었고 그 안에 여러 개의 jpg 파일이 있었다.

그리고 그 중 99.jpg 파일을 추출했다.

메모장 창을 보면 일단 저 파일의 이름은 'z1.dat'. 그 옆 Process Explorer를 보면, 가장 밑에 'v1tvr0.exe'라고 써져있다. 잘려있지만, 키로거를 특정할 수 있는 확실한 단서다. 이로써 두번째 답도 찾았다.

2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자)

c:\v196vv8\v1tvr0.exe

3. 키로거가 다운로드 된 시간은?

다운로드된 시간.. 툴을 써서 볼 수도 있겠지만, 내 경우에는 아까와 같이 'ss' 폴더의 수많은 jpg 파일에서 단서를 찾았다.

삽질 중 397.jpg에서 keylogger를 다운받았다는 이력과 함께 2016-05-24_04:25:06이라는 시간 정보를 볼 수 있었다. 역시 이미지 파일을 그냥 넘기지 않은 건 잘한 것 같다.

 

Auth Key = lowercase(MD5(Key of Q1+Answer of Q2+Answer of Q3+Key of Q4))

Auth Key = lowercase(MD5(what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man)) = 970f891e3667fce147b222cc9a8699d4