| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- Android
- tar
- Interceptor
- 파일해시생성
- Mobile
- CodeEngn
- 디스크
- crack
- 침해사고대응
- 모바일프로그래밍
- 케쉴주
- John the ripper
- Autoware
- Frida
- 리버싱핵심원리
- 안티디버깅
- K-shield Jr 10기
- upx
- disk
- 써니나타스
- K-sheild Jr
- ctf-d
- ZIP
- Multimedia
- shadow
- 포렌식
- SW에듀서포터즈
- Reversing
- swing
- Today
- Total
물먹는산세베리아
[SuNiNaTaS] Forensic_29 본문
문제
http://suninatas.com/challenge/web29/web29.asp
유준혁은 PC가 고장나서 형 유성준에게 PC를 고쳐 달라고 했다.
그런데, 유성준은 동생의 PC를 고치면서 몇 가지 장난을 했다.
당신은 이 PC를 정상으로 돌려 놓아야 한다.
1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다.
2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자)
- ex) c:\windows\notepad.exe
3. 키로거가 다운로드 된 시간은?
- ex) 2016-05-27_22:00:00 (yyyy-mm-dd_hh:mm:ss)
4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.
인증키 형식 : lowercase(MD5(1번키+2번답+3번답+4번키))
풀이
1. 문제 파일 확인
주어진 파일 시그니처를 보면 .egg 파일인 것을 확인할 수 있다.
2. 네이버에만 들어가면 경찰청 차단 화면으로 넘어가는 문제
hosts 파일의 역할은 도메인을 입력했을 때 지정한 ip로 넘어가도록하는 데에 있다. 따라서, 우선 이 파일을 수정하여 www.naver.com을 입력할 할 경우 경찰청 차단 화면이 나오는 곳으로 이동하게끔 설정하지 않았을까 추측해보았다. 해당 경로에서 확인한 결과, hosts파일과, hosts.txt 파일이 존재했다. 텍스트 파일은 본래 존재하지 않아야 하는 파일이며, 수정 시간을 봤을 때 hosts 파일과 1분 밖에 차이나지 않는 것으로 보아 사용자가 무언가를 의도했음을 알 수 있었다.
각각의 파일을 열어본 결과(hosts 파일은 txt로 변경 후 열기) 추측한 대로 hosts 파일에 네이버에 대한 특정 ip가 설정되어 있었고, 문제에서 요구한 키 값 역시 확인할 수 있었다.
답: what_the_he11_1s_keey
3. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명
폴더 옵션에서 숨김 파일을 볼 수 있도록 설정한 후, 숨겨졌던 v196vv8이라는 폴더를 발견할 수 있었다. C:\v196vv8\v1valv\Computer1\24052016 #training\ss 에서 2016년 5월 24일 경에 컴퓨터를 사용한 다수의 흔적(캡쳐 파일) 찾았고, 그 중 아래와 같이 키로거로 보이는 파일을 확인할 수 있었다. 캡처 사진들을 이어서 보면 이 파일이 키로거임을 짐작할 수 있다.
답: c:\v196vv8\v1tvr0.exe
4. 키로거가 다운로드 된 시간
사실, 처음에는 캡처 사진들에서 아래 파일들을 다운 받은 흔적이 있길래 위 문제서 말하는 키로거 파일이 아래 두개라고 생각했다. 하지만, '키로거로서 작동하는 것'은 위 파일이다. *아래 파일들과 위 파일의 관계를 정확히 정리해볼 필요가 있음.
먼저, Internet Explorer의 다운로드 기록에서 아래와 같이 두 가지 파일이 다운로드된 흔적을 볼 수 있었다. 다만, 파일명을 보면 자주 사용하는 분석 도구이고, 다운로드를 한 위치 또한 이상함이 없었기 때문에 아래 파일들이 분석도구로 위장한 키로거라고 보기에는 힘들었다.(winprefetch의 경우 캡처 사진에서 해당 ip 내에 있는 파일들을 확인할 수 있었으나, 해당 파일이 키로거로 의심되기에는 애매했음)
그 다음으로, C:\Users\[사용자명]\AppData\Local\Temp 경로를 확인했다. 해당 위치는 Windows 시스템 및 사용자 프로그램들이 사용하는 임시 파일들을 저장하는 공간으로, 웹 브라우저가 다운로드 한 파일이나 웹사이트의 임시파일들이 저장될 수 있다. 아래와 같이 키로거 관련 파일을 확인 할 수 있었다.
다만, 둘 중 어떤 파일인지 명확하지 않아 내부를 봤는데, 하나는 PE 형식이고 다른 하나는 UPX 패킹된 상태였기 때문에 상대적으로 탐지나 분석이 어려운 패킹 파일이 의도한 답일 것 같다고 생각했다. *정확한 근거 필요
index.dat 파일을 FTK Imager로 추출하여 pc-spy-2010-keylogger-surveillance-spy-3.exe 파일의 생성시간 즉, 다운로드 시간을 알아냈다.
🤔 그런데 위에서 확인한 캡처 사진들을 보면 spyboss-keylogger-pro-4.6.0.147.exe 파일 역시 다운로드 했음을 알 수 있는데, 왜 index.dat 파일에는 기록이 없는 건지 의문이다. *의문 해결할 것 + 파일 탐색기 설정으로 파일 다 보이게끔 했는데도 index.dat 파일이 있는 History.IE5 폴더가 안 보이는 이유도 정리하기
답: 2016-05-24_04:25:06
5. 키로거를 통해서 알아내고자 했던 내용
아래의 경로의 z1.dat 파일을 텍스트 파일로 수정해보니, 키로거를 통해 알아낸 입력한 키들에 대한 정보를 확인할 수 있었다.
답: blackkey is a Good man
정답
what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man
MD5: cc5296b0d30a0bc77a54679a7ad447ea
'Waregame & CTF > Forensic' 카테고리의 다른 글
| [Suninatas] Forensics_31 (0) | 2024.07.19 |
|---|---|
| [Suninatas] Forensics_32 (0) | 2024.07.17 |
| [DH] FFFFAAAATTT (0) | 2024.07.07 |
| [DH] Snowing! (0) | 2023.10.03 |
| [ctf-d] DefCoN#22 #1 (0) | 2023.02.01 |
