[SuNiNaTaS] 29번
문제 파일은 3.4GB 크기의 확장명은 없는 파일이다.
HxD로 까보니 EGG 파일인 걸 알 수 있다.
*egg 파일: 압축 파일의 일종
.egg 파일로 변경해주고 파일 내부를 보니
vmware 파일 확인 가능
vmx 파일을 실행해보았다.
문제가 적힌 메모장 화면이 켜지고
1) 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다.
실제로 naver에 접속하면
이 문제는 아마 host 문제이지 않을까 생각했다.
hosts 파일을 찾아봤는데
내가 알기로는 hosts 파일은 원래 확장자가 없는 파일인데 txt 파일로 표시되고 있다.
아마 기존 파일이 숨김 처리 됐거나... 그런 문제이지 않을까 싶어서 설정을 변경해주었다.
hosts 파일을 메모장으로 열어주면 플래그가 보인다.
what_the_he11_1s_keey
2) 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은? (모두 소문자)
* 키로깅: 사용자가 키보드로 PC에 입력하는 내용을 가로채는 행위
폴더를 하나하나 뒤져보기는 무리 같아서 최근 위치를 보니 24052016 #training 이라는 이름의 폴더가 발견됐고 이미지 파일들을 찾을 수 있었다.
사진들을 쭉 보다보니 경로가 표시된 사진이 보인다.
c:\v196vv8\v1tvr0.exe
3) 키로거가 다운로드 된 시간은?
ex) 2016-05-27_22:00:00 (yyyy-mm-dd_hh:mm:ss)
사진 파일이 키로깅한 증거처럼 보여서 사진을 계속해서 살펴보았다.
그러다가 키로거를 설치한 흔적이 있는 사진을 찾았다.
2016-05-24_04:25:06
4) 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.
키로그가 기록된 파일을 찾으면 쉽게 찾을 수 있다.
폴더 여기저기를 뒤져보다가 z1 파일을 열어보았다.
blackkey is a Good man
인증키 형식 : lowercase(MD5(1번키+2번답+3번답+4번키))
what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man
위 키를 md5 암호화를 해주면 (lowercase)
970f891e3667fce147b222cc9a8699d4
'Forensics > SuNiNaTaS' 카테고리의 다른 글
[SuNiNaTaS] 31번 (0) | 2024.02.17 |
---|---|
[SuNiNaTaS] 26번 (0) | 2024.02.17 |
[SuNiNaTaS] 19번 (0) | 2024.02.17 |
[SuNiNaTaS] 18번 (0) | 2024.02.17 |
[SuNiNaTaS] 14번 (0) | 2024.02.17 |