suninatas 29번
형이 장난이 심했다... 아무튼 풀어보자
파일 헤더가 egg라고 적혀져있다. 뒤에 .egg를 붙여보자
파일이 풀어진다.
들어가보니 이런 파일들일 존재한다.
vmware로 window7을 실행시킨다
실행을 시키면 30초 내에 컴퓨터가 꺼지려고 하는데 이때 빠르게 cmd 창을 열어서 shutdown /a를 한다.
지문에서 나온 것처럼 네이버를 들어갔는데 불법 유해정보 사이트가 뜬다;;
형이 동생이 아니꼬왔는지 Host파일 변조를 한것 같다.
naver 에 접속한것 외에 다른 사이트들에 들어가보니 별다른 문제가 없는걸로 봐서는
동생이 정상적인 naver 주소를 입력했지만 host 파일을 들어가 편집 도구로 유해사이트 IP주소를 얻어와
host 파일을 수정한것같아 보인다.
host파일로 들어왔다. 들어오는 경로는 C:\Windows\System32\drivers\etc 이다.
host 파일은 txt파일로 열 수 있지만 txt파일로 지정되어 있지는 않다.
그렇다면 우리는 파일이 숨겨져있나 확인 해보아야 한다. 폴더 옵션에 들어가서 숨김파일 표시를 설정해준다.
그럼 txt파일이 아닌 진짜 hosts 파일이 나타난다. 이것을 메모장을 통해 열어본다면
키값이 나온다. 첫번째 문제의 플래그를 획득했다!
====================================================================
2번째 문제는 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은? 이다.
키로거는 공격자가 악의적인 목적으로 피해자가 키보드로 입력한 내용을 추적하거나 기록한다고 보면 된다.
그렇다면 키로거가 지금도 실행되고 있다는 뜻인데.. 여기서 2가지 방법이 있다.
첫번째는 tasklist를 cmd 창에다가 쳐서 파일이름이 이상한것이 실행되는가를 찾아보는 것이고
두번째는 직접 찾아보는 것이다.
필자는 두번째 방법으로 찾았다. 왜냐하면 너무 찾기 쉽게 최근위치에 어어어어엄청 수상해보이는 파일이 있었다.
바로 요녀석
tasklist에도 실행중인것을 볼 수 있다. 그렇다면 이 파일의 절대경로 및 파일명을 찾아보쟈
C:\v196vv8 의 경로에 있으니 C:\v196vv8\v1tvr0.exe 가 절대경로가 될것이다.
※참고 악성코드는 파일명이 비 정상적인 경우가 많다.
================================================================
3번
키로거가 다운로드 된 시간은?
먼저 이미지 vmdk 파일을 이미지 마운팅 해줘서 로컬 디스트(E)를 생성한다.
그후 winHex에서 F9를 눌러서 E 디스크를 추가해준다(참고로 관리자 권한으로 해줘야 함)
이후 아래의 영역에 들어가서 index.dat을 추출해준다
Recover copy...를 누르면 들어갈 수 있다. 여기서 원하는 곳에다가 저장해준 뒤에
index.dat Analyzer 로 들어가서 돋보기를 눌러주면 Location에 추가된다
그 후 수상한 파일을 찾을 수 있었다. 2016/ 05/ 24 /04:25:06이다.
4번
키로거를 통해서 알아내고자 했던 내용은 무엇인가?
최근위치 -> 24052016 #training -> z1.dat을 들어가면
키값이 나온다.
이제 답을 형식에 맞춰서 넣는다면?
MD5(what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man)
아래에 변환된 코드가 생성될 것이다..