반응형

SuNiNaTaS의 29번문제 풀이입니다. 


[FORENSIC]


유준혁은 PC가 고장나서 형 유성준에게 PC를 고쳐 달라고 했다.

그런데, 유성준은 동생의 PC를 고치면서 몇 가지 장난을 했다.

당신은 이 PC를 정상으로 돌려 놓아야 한다.


1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다.

2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자)

- ex) c:\windows\notepad.exe

3. 키로거가 다운로드 된 시간은?

- ex) 2016-05-27_22:00:00 (yyyy-mm-dd_hh:mm:ss)

4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.


인증키 형식 : lowercase(MD5(1번키+2번답+3번답+4번키))



다운로드 링크로 들어가면 무려 3.4GB짜리 파일이 있다. 다운받자



파일 시그니처를 보니 EGG파일이다. egg로 열자.




열어보니 vm파일들이 있다.

압축을 풀고 vmx확장자를 가진 파일을 실행하면 vmware가 실행되며 windows7 이 부팅된다.



띠용 빨리 cmd켜서 shutdown /a 명령어로 재부팅을 중단했다.




1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다.


아마 hosts파일이 변조된 것 같다. hosts파일 경로는 C:\Windows\System32\drivers\etc\hosts 이다.


음..? hosts파일이 원래 txt파일이었나?



아니다.

폴더 옵션에서 숨김파일 표시, 확장자명 표시로 변경해 주었다.




나왔다.

what_the_he11_1s_keey



2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?


키로거를 찾아야 한다.

키로거를 설치한 흔적이 최근 위치를 보면 알 수 있을 것이다.





오 여기 관련 이미지파일들이 있다. 아마 키로거 프로그램이겠지

이미지에 나온 경로를 따라가 보자.



여기 찾았다.

c:\v196vv8\v1tr0.exe




3. 키로거가 다운로드 된 시간은?



IE의 방문기록을 확인하면 될 것 같다.


BrowsingHistoryView라는 프로그램을 사용했다.

검색기록 보는 프로그램은 널리고 널렸다...



찾았다.

2016-05-24_04:25:06




4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.



키로그가 기록된 파일을 찾으면 된다.



이것저것 열어 보다가 찾았다.

z1.dat파일에 있었다.


blackkey is a Good man



what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man



클리어!



반응형

'WAR GAME > SuNiNaTaS' 카테고리의 다른 글

SuNiNaTaS [FORENSIC 31번] 풀이  (0) 2018.09.03
SuNiNaTaS [FORENSIC 30번] 풀이  (0) 2018.08.08
SuNiNaTaS [FORENSIC 28번] 풀이  (0) 2018.08.07
SuNiNaTaS [SYSTEM 27번] 풀이  (0) 2018.08.07
SuNiNaTaS [FORENSIC 26번] 풀이  (0) 2018.08.07

+ Recent posts