![]()
문제 풀이 다운로더가 아동 음란물을 받는 것을 확인하였다고 했고, FTKImager로 주어진 파일을 열었을 때, Administrator 계정 아래에 uTorrent 폴더가 있었기 때문에 이걸 사용해 파일을 다운받았을 것이라고 생각했다. uTorrent란? 토렌트란, 파일을 전송하는 P2P 기줄 중 하나로 .torrent파일을 토렌트 클라이언트에 불러와 .torrent 파일에 연결된 파일을 다운 받는 구조이다. 공식 명칭인 '비트 토렌트'는 P2P 파일 전송 프로토콜 중 하나이자 동시에 클라이언트이름이기 때문에 토렌트는 내가 다운받고 동시에 배포자가 된다. uTorrent는 클라이언트 중 하나라고 보면 된다. 다시 돌아와서, uTorrent를 사용했다면 다운 받은 파일의 확장자가 .torrent일 것이다..
![]()
문제 풀이 주어진 xz 파일을 리눅스 tar 명령어로 풀어보았다. xz로 압축을 풀면 RunMe.DMP 파일이 나온다. 그냥 cat로 이 파일을 보려고 하면 이상한 문자들이 나온다. strings명령어로 RunMe.DMP를 분석하면 문자들이 나오긴 하나 바로 flag를 찾기에는 너무 많은 내용들이다. 어차피 flag 형식이 SharifCTF로 정해져있기 때문에 grep을 사용해 다시 flag을 찾아보았다. 윈도우 작업 관리자에서 우클릭 하라는 제목은 써보지도 못했고,, 그냥 strings만 해도 나오는데 원래 이렇게 푸는 게 맞나? 싶다. 다른 정석 방법이 있지 않을까 정답
![]()
문제 풀이 배점이 높지 않아서 120점.. 디스크 문제긴 해도 도구를 많이 쓰는 문제는 아닐 거 같았다. core 파일을 처음 봤는데 검색해보니까 도중에 중단하면 남는파일? 그런 거 같다 core dump 파일은 리눅스 gdb로 분석해야하는데 포너블도 아니고 120점짜리 문제가 그 정도를 요구할 리는 없다고 생각했다. 그래서 늘 하듯 HxD로 열어서 포맷도 정해져 있겠다 냅다 'ALEXCTF'를 검색했는데 안 나왔다. ㅋㅋㅋ 이렇게 떨어져 있으니까 안 나오지 { 앞에 있는 문자 중 대문자만 뽑으면 ALEXCTF이다. 사이사이에 글자 4개가 있다고 생각하고 }를 만나기 전까지 있는 글자들을 가져와 보면 ALEXCTF{K33P_7H3_g00D_w0rk_up} 정답
![]()
문제 풀이 [ 사용 도구 ] FTK Imager, HxD(굳이 안써도..) FTK Imager로 zip 파일을 열면 파일 2개 밖에 안 들어있다. 그 중에 out.txt는 사이즈도 작은 만큼 별 내용이 없고, 쓱 봐도 key format인 h4ck1t로 시작하는 문자는 없었다. 그래서 parse에 당연히 있겠다 싶어서 추출(export files)한 뒤 HxD에서 텍스트 문자열 찾기로 바로 찾았다. 정답
