SuNiNaTaS [FORENSIC 29번] 풀이

SuNiNaTaS의 29번문제 풀이입니다. 

[FORENSIC]

유준혁은 PC가 고장나서 형 유성준에게 PC를 고쳐 달라고 했다.

그런데, 유성준은 동생의 PC를 고치면서 몇 가지 장난을 했다.

당신은 이 PC를 정상으로 돌려 놓아야 한다.

1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다.

2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자)

- ex) c:\windows\notepad.exe

3. 키로거가 다운로드 된 시간은?

- ex) 2016-05-27_22:00:00 (yyyy-mm-dd_hh:mm:ss)

4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.

인증키 형식 : lowercase(MD5(1번키+2번답+3번답+4번키))

다운로드 링크로 들어가면 무려 3.4GB짜리 파일이 있다. 다운받자

파일 시그니처를 보니 EGG파일이다. egg로 열자.

열어보니 vm파일들이 있다.

압축을 풀고 vmx확장자를 가진 파일을 실행하면 vmware가 실행되며 windows7 이 부팅된다.

띠용 빨리 cmd켜서 shutdown /a 명령어로 재부팅을 중단했다.

1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다.

아마 hosts파일이 변조된 것 같다. hosts파일 경로는 C:\Windows\System32\drivers\etc\hosts 이다.

음..? hosts파일이 원래 txt파일이었나?

아니다.

폴더 옵션에서 숨김파일 표시, 확장자명 표시로 변경해 주었다.

나왔다.

what_the_he11_1s_keey

2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?

키로거를 찾아야 한다.

키로거를 설치한 흔적이 최근 위치를 보면 알 수 있을 것이다.

오 여기 관련 이미지파일들이 있다. 아마 키로거 프로그램이겠지

이미지에 나온 경로를 따라가 보자.

여기 찾았다.

c:\v196vv8\v1tr0.exe

3. 키로거가 다운로드 된 시간은?

IE의 방문기록을 확인하면 될 것 같다.

BrowsingHistoryView라는 프로그램을 사용했다.

검색기록 보는 프로그램은 널리고 널렸다...

찾았다.

2016-05-24_04:25:06

4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.

키로그가 기록된 파일을 찾으면 된다.

이것저것 열어 보다가 찾았다.

z1.dat파일에 있었다.

blackkey is a Good man

what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man

클리어!