[ctf-d] GrrCON 2015 #6

[ctf-d] GrrCON 2015 #6

 

 

 

 

문제가 전부 연결되어 있어서 이것도 앞에서 풀었던 걸 사용하면 된다고 생각했다.

 

이 문제도 멀웨어 관련해서 묻고 있는데

 

앞선 문제들이

악성코드에 인젝션된 프로세스의 PID

멀웨어가 사용하고 있는 레지스트리 Key

를 찾는 것이었기 때문에 #4, #5를 이용하면 될 듯!

 

 

 

#4에서 iexplore.exe 파일의 PID를 새로 사용했으니까

더이상 #1에서 추출했던 dmp 파일은 거의 쓰이지 않을 거라고 생각했다.

 

 

 

그래서 우선 iexplore.exe의 PID 2996으로 덤프 파일을 생성했다.

 

 

dmp 파일을 읽기 위해 txt 파일로 변환하는 작업까지 거쳐줬다.

 

 

이 생성된 파일에서 플래그를 찾을 수 있을 것 같다는 생각이 들었다

근데 무턱대고 저 파일을 전부 읽을 수는 없으니

플래그를 찾을 수 있는 키워드를 생각해보았다.

C&C도 검색을 해봤다 (이걸로는 못 찾음)

 

내가 뭔가 놓친 게 있나 싶었나보다

악성코드에 인젝션된 프로세스의 PID는 사용을 했는데

멀웨어가 사용하고 있는 레지스트리 Key는 아직 사용을 안 했다

 

이 레지스트리 키가 MrRobot이었는데

이걸 txt 파일에 검색을 해봤다.

 

 

뭔가 찾을 수 있을 것 같다

Xtreme도 앞에서 플래그로 나왔던 거다

 

플래그 형식이 '영문+숫자'로 이루어져 있어서

이렇게 된 문자열을 찾아봤다.

 

 

뭔가 플래그스러운 게 나왔다.

 

 

성공!